- Prilično naporan mjesec za Microsoft Patch izdanje u utorak, sa 71 CVE-om.
- Od svih CVE-a, 68 je označeno kao važno, a niti jedan kao umjeren.
- Međutim, tehnološki div iz Redmonda morao se suočiti s tri gadne kritične greške.
- Uključili smo sve i svakoga u ovaj članak, s izravnim poveznicama.
Opet je to vrijeme u mjesecu i svi gledaju prema Microsoftu, u nadi da će se neke od mana s kojima su se borile konačno popraviti.
Već smo dali izravne veze za preuzimanje za kumulativna ažuriranja koja su danas objavljena za Windows 10 i 11, ali sada je vrijeme da ponovno razgovaramo o kritičnim ranjivostima i izloženostima.
Što se tiče težine, ovomjesečno izdanje podudara se s izdanjima robe iz prethodnih godina, koja su obično oko 60-70 CVE-a.
Zaronimo odmah u to i vidimo koje su ranjivosti potpuno nestale iz naših života, sada kada su ove zakrpe aktivne.
Tri kritične greške obrađene ovog mjeseca
Za treći mjesec 2022. Microsoft je objavio 71 novu zakrpu. Ovo je dodatak 21 CVE-u koje je zakrpio Microsoft Edge (temeljen na Chromiumu) ranije ovog mjeseca, što u ožujku dovodi do ukupno 92 CVE-a.
Dakle, 71 nova zakrpa koja je danas postala dostupna rješava CVE u:
- .NET i Visual Studio
- Azure Site Recovery
- Microsoft Defender za krajnju točku
- Microsoft Defender za IoT
- Microsoft Edge (temeljen na Chromiumu)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Biblioteka kodeka za Microsoft Windows
- Slikajte 3D
- Uloga: Windows Hyper-V
- Proširenje za Skype za Chrome
- Tablet Windows korisničko sučelje
- Visual Studio Code
- Upravljački program za pomoćne funkcije sustava Windows za WinSock
- Windows CD-ROM upravljački program
- Upravljački program mini filtera za datoteke u oblaku Windows
- Windows COM
- Upravljački program Windows Common Log File System
- Windows DWM Core Library
- Praćenje Windows događaja
- Windows Fastfat upravljački program
- Windows usluga faksiranja i skeniranja
- Windows HTML platforma
- Windows Installer
- Windows kernel
- Windows Media
- Windows PDEV
- Windows Protokol za tuneliranje od točke do točke
- Windows Print Spooler komponente
- Udaljena radna površina sustava Windows
- Sučelje pružatelja sigurnosne podrške za Windows
- Windows SMB poslužitelj
- Windows Update Stack
- XBox
Ono što je također važno spomenuti je da, od 71 CVE-a objavljenog danas, tri imaju ocjenu kritične, a 68 ocjenjene kao važne po ozbiljnosti.
Broj zakrpa s kritičnom ocjenom ponovno je čudno nizak za ovaj broj bugova, prema stručnjacima i nekim od tehnološki naprednijih korisnika.
Nadalje, još uvijek je neizvjesno je li ovaj nizak postotak bugova samo slučajnost ili Microsoft možda procjenjuje ozbiljnost koristeći drugačiji račun nego u prošlosti.
| CVE | Titula | Ozbiljnost | CVSS | Javnost | Iskorištavan | Tip |
| CVE-2022-24512 | Ranjivost udaljenog izvršavanja koda .NET i Visual Studio | Važno | 6.3 | Da | Ne | RCE |
| CVE-2022-21990 | Ranjivost udaljenog izvršavanja koda klijenta udaljene radne površine | Važno | 8.8 | Da | Ne | RCE |
| CVE-2022-24459 | Ranjivost Windows Fax and Scan Service Elevation Privilege | Važno | 7.8 | Da | Ne | EoP |
| CVE-2022-22006 | HEVC video proširenja Ranjivost udaljenog izvršavanja koda | Kritično | 7.8 | Ne | Ne | RCE |
| CVE-2022-23277 | Ranjivost udaljenog izvršavanja koda Microsoft Exchange Servera | Kritično | 8.8 | Ne | Ne | RCE |
| CVE-2022-24501 | VP9 Video Extensions Ranjivost udaljenog izvršavanja koda | Kritično | 7.8 | Ne | Ne | RCE |
| CVE-2022-24508 | Ranjivost udaljenog izvršavanja koda Windows SMBv3 klijent/poslužitelj | Važno | 8.8 | Ne | Ne | RCE |
| CVE-2022-21967 | Ranjivost Xbox Live Auth Managera za Windows Elevation of Privilege | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-24464 | Ranjivost .NET i Visual Studio Denial of Service | Važno | 7.5 | Ne | Ne | DoS |
| CVE-2022-24469 | Azure Site Recovery Ranjivost povišenja privilegija | Važno | 8.1 | Ne | Ne | EoP |
| CVE-2022-24506 | Azure Site Recovery Ranjivost povišenja privilegija | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-24515 | Azure Site Recovery Ranjivost povišenja privilegija | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-24518 | Azure Site Recovery Ranjivost povišenja privilegija | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-24519 | Azure Site Recovery Ranjivost povišenja privilegija | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-24467 | Ranjivost udaljenog izvršavanja koda Azure Site Recovery | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-24468 | Ranjivost udaljenog izvršavanja koda Azure Site Recovery | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-24470 | Ranjivost udaljenog izvršavanja koda Azure Site Recovery | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-24471 | Ranjivost udaljenog izvršavanja koda Azure Site Recovery | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-24517 | Ranjivost udaljenog izvršavanja koda Azure Site Recovery | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-24520 | Ranjivost udaljenog izvršavanja koda Azure Site Recovery | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2020-8927 * | Ranjivost prekoračenja međuspremnika Brotli biblioteke | Važno | 6.5 | Ne | Ne | N/A |
| CVE-2022-24457 | HEIF proširenja slike ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-22007 | HEVC video proširenja Ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-23301 | HEVC video proširenja Ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-24452 | HEVC video proširenja Ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-24453 | HEVC video proširenja Ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-24456 | HEVC video proširenja Ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-21977 | Ranjivost u otkrivanju informacija Media Foundation | Važno | 3.3 | Ne | Ne | Info |
| CVE-2022-22010 | Ranjivost u otkrivanju informacija Media Foundation | Važno | 4.4 | Ne | Ne | Info |
| CVE-2022-23278 | Microsoft Defender za ranjivost krajnje točke lažiranja | Važno | 5.9 | Ne | Ne | Prijevara |
| CVE-2022-23266 | Microsoft Defender za ranjivost IoT Elevation Privilege | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-23265 | Ranjivost Microsoft Defendera za IoT udaljeno izvršavanje koda | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-24463 | Ranjivost lažnog poslužitelja Microsoft Exchange | Važno | 6.5 | Ne | Ne | Prijevara |
| CVE-2022-24465 | Microsoft Intune Portal za zaobilaženje ranjivosti sigurnosne značajke iOS-a | Važno | 3.3 | Ne | Ne | SFB |
| CVE-2022-24461 | Ranjivost daljinskog izvršavanja koda Microsoft Office Visio | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-24509 | Ranjivost daljinskog izvršavanja koda Microsoft Office Visio | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-24510 | Ranjivost daljinskog izvršavanja koda Microsoft Office Visio | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-24511 | Ranjivost Microsoft Office Worda na neovlašteno mijenjanje | Važno | 5.5 | Ne | Ne | petljanje |
| CVE-2022-24462 | Ranjivost zaobilaženja sigurnosne značajke Microsoft Worda | Važno | 5.5 | Ne | Ne | SFB |
| CVE-2022-23282 | Ranjivost Paint 3D Remote Code Execution | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-23253 | Point-to-point Tunneling Protocol Denial of Service Ranjivost | Važno | 6.5 | Ne | Ne | DoS |
| CVE-2022-23295 | Raw Raw Image Extension Remote Code Extension Ranjivost | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-23300 | Raw Raw Image Extension Remote Code Extension Ranjivost | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-23285 | Ranjivost udaljenog izvršavanja koda klijenta udaljene radne površine | Važno | 8.8 | Ne | Ne | RCE |
| CVE-2022-24503 | Ranjivost u otkrivanju podataka o klijentu protokola udaljene radne površine | Važno | 5.4 | Ne | Ne | Info |
| CVE-2022-24522 | Skype proširenje za ranjivost otkrivanja informacija u Chromeu | Važno | 7.5 | Ne | Ne | Info |
| CVE-2022-24460 | Ranjivost aplikacije Povišenje privilegija korisničkog sučelja za tablet Windows | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-24526 | Ranjivost lažnog koda Visual Studio | Važno | 6.1 | Ne | Ne | Prijevara |
| CVE-2022-24451 | VP9 Video Extensions Ranjivost udaljenog izvršavanja koda | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-23283 | Ranjivost Windows ALPC Elevation of Privilege | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-23287 | Ranjivost Windows ALPC Elevation of Privilege | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-24505 | Ranjivost Windows ALPC Elevation of Privilege | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-24507 | Upravljački program pomoćne funkcije sustava Windows za ranjivost WinSock Elevation privilege | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-24455 | Ranjivost Windows CD-ROM Driver Elevation Privilege | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-23286 | Windows Cloud Files Mini Filter Driver Elevation Privilege Ranjivost | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-23281 | Ranjivost u otkrivanju informacija o upravljačkom programu Windows Common Log File System | Važno | 5.5 | Ne | Ne | Info |
| CVE-2022-23288 | Windows DWM Core Library Ranjivost povišenja privilegija | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-23291 | Windows DWM Core Library Ranjivost povišenja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-23294 | Ranjivost udaljenog izvršavanja koda Windows Event Tracing | Važno | 8.8 | Ne | Ne | RCE |
| CVE-2022-23293 | Windows Fast FAT datotečni sustav Ranjivost povećanja privilegija upravljačkog programa | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-24502 | Ranjivost zaobilaženja sigurnosne značajke Windows HTML platforme | Važno | 4.3 | Ne | Ne | SFB |
| CVE-2022-21975 | Windows Hyper-V ranjivost uskraćivanja usluge | Važno | 4.7 | Ne | Ne | DoS |
| CVE-2022-23290 | Windows Inking COM Ranjivost povećanja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-23296 | Ranjivost Windows Installer Elevation Privilege | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-21973 | Ranjivost uskraćivanja usluge Windows Media Center Update | Važno | 5.5 | Ne | Ne | DoS |
| CVE-2022-23297 | Windows NT Lan Manager Datagram Receiver Driver Disclosure Information Disclosure Ranjivost | Važno | 5.5 | Ne | Ne | Info |
| CVE-2022-23298 | Ranjivost jezgre Windows NT OS zbog povišenja privilegija | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-23299 | Windows PDEV ranjivost povišenja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-23284 | Ranjivost Windows Print Spooler Elevation ranjivosti privilegija | Važno | 7.2 | Ne | Ne | EoP |
| CVE-2022-24454 | Ranjivost sučelja davatelja sigurnosne podrške za Windows zbog povišenja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-24525 | Ranjivost ranjivosti podizanja privilegija Stack Update sustava Windows | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-0789 | Chromium: preljev međuspremnika hrpe u ANGLE | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0797 | Chromium: Izvan granica pristupa memoriji u Mojou | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0792 | Krom: Izvan granica čita se u ANGLE | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0795 | Chromium: Upišite Zbunu u Blink Layout | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0790 | Chromium: koristite nakon besplatnog u Cast UI | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0796 | Chromium: koristite nakon besplatnog u medijima | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0791 | Chromium: koristite nakon besplatnog u višenamjenskom okviru | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0793 | Chromium: koristite nakon besplatnog u Views | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0794 | Chromium: koristite nakon besplatnog u WebShareu | Visoko | N/A | Ne | Ne | RCE |
| CVE-2022-0800 | Chromium: prekoračenje međuspremnika hrpe u korisničkom sučelju Cast | Srednji | N/A | Ne | Ne | RCE |
| CVE-2022-0807 | Chromium: Neprikladna implementacija u automatskom popunjavanju | Srednji | N/A | Ne | Ne | Info |
| CVE-2022-0802 | Chromium: Neprikladna implementacija u načinu cijelog zaslona | Srednji | N/A | Ne | Ne | Info |
| CVE-2022-0804 | Chromium: Neprikladna implementacija u načinu cijelog zaslona | Srednji | N/A | Ne | Ne | Info |
| CVE-2022-0801 | Chromium: Neprikladna implementacija u HTML parseru | Srednji | N/A | Ne | Ne | petljanje |
| CVE-2022-0803 | Chromium: Neprikladna implementacija u Dopuštenjima | Srednji | N/A | Ne | Ne | SFB |
| CVE-2022-0799 | Chromium: nedovoljna provedba pravila u programu za instalaciju | Srednji | N/A | Ne | Ne | SFB |
| CVE-2022-0809 | Chromium: Pristup memoriji izvan granica u WebXR-u | Srednji | N/A | Ne | Ne | RCE |
| CVE-2022-0805 | Chromium: koristite nakon besplatnog u Browser Switcheru | Srednji | N/A | Ne | Ne | RCE |
| CVE-2022-0808 | Chromium: koristite nakon besplatnog u Chrome OS Shell | Srednji | N/A | Ne | Ne | RCE |
| CVE-2022-0798 | Chromium: koristite nakon besplatnog u MediaStreamu | Srednji | N/A | Ne | Ne | RCE |
Imajte na umu da niti jedan od bugova nije naveden kao pod aktivnim iskorištavanjem ovog mjeseca, dok su tri navedene kao javno poznate u trenutku objavljivanja.
Ovo su svi CVE-ovi na koje se odnosi ovomjesečno izdanje Patch Tuesday. Općenito, ovo je bio prilično težak, ali siguran mjesec, u usporedbi s prethodnim situacijama.
Sljedeća serija softvera Patch Tuesday dolazi 12. travnja i svi smo znatiželjni vidjeti što će Microsoft smisliti do tada.
Nadajmo se da se nećemo morati nositi s kritičnim problemima, a to će od sada ići samo glatko.
Je li vam ovaj članak bio od pomoći? Podijelite svoje mišljenje u odjeljku za komentare ispod.
