- Pour juillet 2022, Microsoft a publié une longue liste de 84 nouvelles mises à jour de sécurité.
- Parmi tous les CVE,5 sont critiques et 80 d'entre eux sont répertoriés comme importants.
- Nous avons inclus tout le monde dans cet article, avec des liens directs également
Si vous vous sentez un peu mal à l'aise, c'est que nous sommes déjà en juillet et que les températures commencent doucement à nous monter dans nos bureaux.
Les utilisateurs de Windows, cependant, se tournent vers Microsoft dans l'espoir que certaines des failles avec lesquelles ils se débattent seront enfin corrigées.
Nous avons déjà fourni le liens de téléchargement direct pour les mises à jour cumulatives publiées aujourd'hui pour Windows 10 et 11, mais il est maintenant temps de parler à nouveau des vulnérabilités et des expositions critiques.
Ce mois-ci, le géant de la technologie de Redmond a publié 84 nouveaux correctifs, ce qui est bien plus que ce à quoi certaines personnes s'attendaient juste après Pâques.
Ces mises à jour logicielles corrigent les CVE dans :
- Microsoft Windows et composants Windows
- Composants Windows Azure
- Microsoft Defender pour point de terminaison
- Microsoft Edge (basé sur Chromium)
- Office et composants Office
- Windows BitLocker
- Windows Hyper-V
- Skype Entreprise et Microsoft Lync
- Logiciels open source
- Xbox
Microsoft fournit des correctifs pour 84 failles en juillet 2022
Il est à peu près sûr de dire que ce n'était ni le mois le plus chargé ni le mois le plus léger pour les experts en sécurité basés à Redmond.
Vous aimerez peut-être savoir que, sur les 84 nouveaux CVE publiés, 4 sont classés critiques et les autres (80) sont classés comme importants.
Nous parlons de 52 vulnérabilités d'élévation des privilèges, 4 vulnérabilités de contournement des fonctionnalités de sécurité, 12 vulnérabilités d'exécution de code à distance, 11 vulnérabilités de divulgation d'informations et 5 dénis de service vulnérabilités
| CVE | Titre | Gravité | CVSS | Public | Exploité | Taper |
| CVE-2022-22047 | Vulnérabilité d'élévation de privilèges Windows CSRSS | Important | 7.8 | Non | Oui | EoP |
| CVE-2022-22038 | Vulnérabilité d'exécution de code à distance dans l'exécution des appels de procédure à distance | Critique | 8.1 | Non | Non | CRE |
| CVE-2022-30221 | Vulnérabilité d'exécution de code à distance du composant graphique Windows | Critique | 8.8 | Non | Non | CRE |
| CVE-2022-22029 | Vulnérabilité d'exécution de code à distance du système de fichiers réseau Windows | Critique | 8.1 | Non | Non | CRE |
| CVE-2022-22039 | Vulnérabilité d'exécution de code à distance du système de fichiers réseau Windows | Critique | 7.5 | Non | Non | CRE |
| CVE-2022-30215 | Vulnérabilité d'élévation des privilèges des services de fédération Active Directory | Important | 7.5 | Non | Non | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 Confusion du type de branche du processeur AMD | Important | N / A | Non | Non | Info |
| CVE-2022-23825 * | AMD: CVE-2022-23825 Confusion du type de branche du processeur AMD | Important | N / A | Non | Non | Info |
| CVE-2022-30181 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33641 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33642 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33643 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33650 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33651 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33652 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.4 | Non | Non | EoP |
| CVE-2022-33653 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33654 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33655 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33656 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33657 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33658 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.4 | Non | Non | EoP |
| CVE-2022-33659 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33660 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33661 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33662 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33663 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33664 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33665 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33666 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33667 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33668 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33669 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33671 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 4.9 | Non | Non | EoP |
| CVE-2022-33672 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33673 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-33674 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 8.3 | Non | Non | EoP |
| CVE-2022-33675 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 7.8 | Non | Non | EoP |
| CVE-2022-33677 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 7.2 | Non | Non | EoP |
| CVE-2022-33676 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-33678 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-30187 | Vulnérabilité de divulgation d'informations de la bibliothèque de stockage Azure | Important | 4.7 | Non | Non | Info |
| CVE-2022-22048 | Vulnérabilité de contournement de la fonctionnalité de sécurité BitLocker | Important | 6.1 | Non | Non | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Une vulnérabilité d'informations d'identification insuffisamment protégées peut entraîner une fuite des données d'authentification ou d'en-tête de cookie | Important | N / A | Non | Non | Info |
| CVE-2022-22040 | Vulnérabilité de déni de service du module de compression dynamique des services d'information Internet | Important | 7.3 | Non | Non | DoS |
| CVE-2022-33637 | Microsoft Defender pour la vulnérabilité de falsification des points de terminaison | Important | 6.5 | Non | Non | Falsification |
| CVE-2022-33632 | Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Office | Important | 4.7 | Non | Non | SFB |
| CVE-2022-22036 | Compteurs de performances pour la vulnérabilité d'élévation des privilèges de Windows | Important | 7 | Non | Non | EoP |
| CVE-2022-33633 | Vulnérabilité d'exécution de code à distance dans Skype Entreprise et Lync | Important | 7.2 | Non | Non | CRE |
| CVE-2022-22037 | Vulnérabilité d'élévation de privilèges dans les appels de procédure locale avancée de Windows | Important | 7.5 | Non | Non | EoP |
| CVE-2022-30202 | Vulnérabilité d'élévation de privilèges dans les appels de procédure locale avancée de Windows | Important | 7 | Non | Non | EoP |
| CVE-2022-30224 | Vulnérabilité d'élévation de privilèges dans les appels de procédure locale avancée de Windows | Important | 7 | Non | Non | EoP |
| CVE-2022-22711 | Vulnérabilité de divulgation d'informations Windows BitLocker | Important | 6.7 | Non | Non | Info |
| CVE-2022-30203 | Vulnérabilité de contournement de la fonctionnalité de sécurité du gestionnaire de démarrage Windows | Important | 7.4 | Non | Non | SFB |
| CVE-2022-30220 | Vulnérabilité d'élévation des privilèges du pilote du système de fichiers journaux Windows Common | Important | 7.8 | Non | Non | EoP |
| CVE-2022-30212 | Vulnérabilité de divulgation des informations de service de la plate-forme des appareils connectés Windows | Important | 4.7 | Non | Non | Info |
| CVE-2022-22031 | Vulnérabilité d'élévation de privilèges de la clé publique jointe au domaine Windows Credential Guard | Important | 7.8 | Non | Non | EoP |
| CVE-2022-22026 | Vulnérabilité d'élévation de privilèges Windows CSRSS | Important | 8.8 | Non | Non | EoP |
| CVE-2022-22049 | Vulnérabilité d'élévation de privilèges Windows CSRSS | Important | 7.8 | Non | Non | EoP |
| CVE-2022-30214 | Vulnérabilité d'exécution de code à distance du serveur DNS Windows | Important | 6.6 | Non | Non | CRE |
| CVE-2022-22043 | Vulnérabilité d'élévation des privilèges du pilote du système de fichiers Windows Fast FAT | Important | 7.8 | Non | Non | EoP |
| CVE-2022-22050 | Vulnérabilité d'élévation des privilèges du service de télécopie Windows | Important | 7.8 | Non | Non | EoP |
| CVE-2022-22024 | Vulnérabilité d'exécution de code à distance du service de télécopie Windows | Important | 7.8 | Non | Non | CRE |
| CVE-2022-22027 | Vulnérabilité d'exécution de code à distance du service de télécopie Windows | Important | 7.8 | Non | Non | CRE |
| CVE-2022-30213 | Vulnérabilité de divulgation d'informations Windows GDI+ | Important | 5.5 | Non | Non | Info |
| CVE-2022-22034 | Vulnérabilité d'élévation des privilèges du composant graphique Windows | Important | 7.8 | Non | Non | EoP |
| CVE-2022-30205 | Vulnérabilité d'élévation de privilèges dans la stratégie de groupe Windows | Important | 6.6 | Non | Non | EoP |
| CVE-2022-22042 | Vulnérabilité de divulgation d'informations dans Windows Hyper-V | Important | 6.5 | Non | Non | Info |
| CVE-2022-30223 | Vulnérabilité de divulgation d'informations dans Windows Hyper-V | Important | 5.7 | Non | Non | Info |
| CVE-2022-30209 | Vulnérabilité d'élévation des privilèges du serveur Windows IIS | Important | 7.4 | Non | Non | EoP |
| CVE-2022-22025 | Vulnérabilité de déni de service du module Cachuri de Windows Internet Information Services | Important | 7.5 | Non | Non | DoS |
| CVE-2022-21845 | Vulnérabilité de divulgation d'informations du noyau Windows | Important | 4.7 | Non | Non | Info |
| CVE-2022-30211 | Vulnérabilité d'exécution de code à distance du protocole Windows Layer 2 Tunneling Protocol (L2TP) | Important | 7.5 | Non | Non | CRE |
| CVE-2022-30225 | Vulnérabilité d'élévation des privilèges du service de partage réseau du lecteur Windows Media Player | Important | 7.1 | Non | Non | EoP |
| CVE-2022-22028 | Vulnérabilité de divulgation d'informations du système de fichiers réseau Windows | Important | 5.9 | Non | Non | Info |
| CVE-2022-22023 | Vulnérabilité de contournement de la fonctionnalité de sécurité du service Windows Portable Device Enumerator | Important | 6.6 | Non | Non | SFB |
| CVE-2022-22022 | Vulnérabilité d'élévation des privilèges du spouleur d'impression Windows | Important | 7.1 | Non | Non | EoP |
| CVE-2022-22041 | Vulnérabilité d'élévation des privilèges du spouleur d'impression Windows | Important | 6.8 | Non | Non | EoP |
| CVE-2022-30206 | Vulnérabilité d'élévation des privilèges du spouleur d'impression Windows | Important | 7.8 | Non | Non | EoP |
| CVE-2022-30226 | Vulnérabilité d'élévation des privilèges du spouleur d'impression Windows | Important | 7.1 | Non | Non | EoP |
| CVE-2022-30208 | Vulnérabilité de déni de service du gestionnaire de compte de sécurité Windows (SAM) | Important | 6.5 | Non | Non | DoS |
| CVE-2022-30216 | Vulnérabilité de falsification du service Windows Server | Important | 8.8 | Non | Non | Falsification |
| CVE-2022-30222 | Vulnérabilité d'exécution de code à distance dans Windows Shell | Important | 8.4 | Non | Non | CRE |
| CVE-2022-22045 | Les fenêtres. Dispositifs. Vulnérabilité d'élévation de privilèges dans Picker.dll | Important | 7.8 | Non | Non | EoP |
| CVE-2022-33644 | Vulnérabilité d'élévation des privilèges du service Xbox Live Save | Important | 7 | Non | Non | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Débordement de mémoire tampon dans WebRTC | Haute | N / A | Non | Oui | CRE |
| CVE-2022-2295 * | Chrome: CVE-2022-2295 Type Confusion dans V8 | Haute | N / A | Non | Non | CRE |
Vous devez garder à l'esprit que les mises à jour du Patch Tuesday de ce mois-ci corrigent une vulnérabilité d'élévation des privilèges du jour zéro activement exploitée.
La société a classé une vulnérabilité comme un jour zéro si elle est divulguée publiquement ou activement exploitée sans correctif officiel disponible.
Pour être plus clair, la vulnérabilité zero-day activement exploitée corrigée aujourd'hui est suivie comme CVE-2022-22047 - Windows CSRSS Elevation of Privilege Vulnerability.
En l'exploitant, un tiers malveillant pourrait en fait obtenir des privilèges SYSTEM, comme l'ont conseillé les experts en sécurité de Microsoft dans cette récente version.
De plus, tout aussi important, rappelez-vous qu'il existe trois correctifs pour les bogues de déni de service (DoS) dans la version de ce mois-ci, tous ayant un impact.
Et, sur les 52 correctifs pour les bogues EoP, 30 d'entre eux corrigent les bogues d'Azure Site Recovery, l'un d'entre eux étant censé faire l'objet d'une attaque active.
Pour l'avenir, le prochain déploiement de la mise à jour de sécurité Patch Tuesday aura lieu le 9 août, ce qui est un peu plus tôt que certains ne l'avaient prévu.
Avez-vous rencontré d'autres problèmes après avoir installé les mises à jour de sécurité de ce mois-ci? Partagez votre opinion dans la section des commentaires ci-dessous.
