- Za srpanj 2022. Microsoft je objavio dugačak popis od 84 nova sigurnosna ažuriranja.
- Od svih CVE-ova,5 ih je kritičnih, a 80 ih je navedeno kao važnih.
- Sve smo uključili u ovaj članak, s izravnim poveznicama
Ako se osjećate pomalo nelagodno, to je zato što smo već u srpnju i temperature nas polako počinju graditi u našim uredima.
Korisnici Windowsa, međutim, gledaju prema Microsoftu u nadi da će neki od nedostataka s kojima su se borili konačno biti ispravljeni.
Već smo osigurali izravne veze za preuzimanje za danas objavljena kumulativna ažuriranja za Windows 10 i 11, ali sada je vrijeme da ponovno razgovaramo o kritičnim ranjivostima i izloženostima.
Ovaj je mjesec tehnološki div iz Redmonda objavio 84 nove zakrpe, što je puno više nego što su neki ljudi očekivali odmah nakon Uskrsa.
Ova ažuriranja softvera rješavaju CVE-ove u:
- Microsoft Windows i Windows komponente
- Windows Azure komponente
- Microsoft Defender za krajnju točku
- Microsoft Edge (temeljen na Chromiumu)
- Ured i komponente ureda
- Windows BitLocker
- Windows Hyper-V
- Skype za posao i Microsoft Lync
- Softver otvorenog koda
- Xbox
Microsoft nudi popravke za 84 greške u srpnju 2022
Prilično je sigurno reći da ovo nije bio ni najprometniji ni najlakši mjesec za stručnjake za sigurnost iz Redmonda.
Možda biste željeli znati da su od 84 nova objavljena CVE-a 4 ocijenjena kao kritična, a preostalih (80) kao važni.
Govorimo o 52 ranjivosti povećanja privilegija, 4 ranjivosti zaobilaženja sigurnosnih značajki, 12 ranjivosti daljinskog izvršavanja koda, 11 ranjivosti otkrivanja informacija i 5 uskraćivanja usluge ranjivosti
| CVE | Titula | Ozbiljnost | CVSS | Javnost | Izrabljivan | Tip |
| CVE-2022-22047 | Ranjivost Windows CSRSS povećanja privilegija | Važno | 7.8 | Ne | Da | EoP |
| CVE-2022-22038 | Ranjivost daljinskog izvršavanja koda za vrijeme izvođenja poziva procedure | Kritično | 8.1 | Ne | Ne | RCE |
| CVE-2022-30221 | Ranjivost daljinskog izvođenja koda grafičke komponente sustava Windows | Kritično | 8.8 | Ne | Ne | RCE |
| CVE-2022-22029 | Ranjivost daljinskog izvođenja koda Windows mrežnog sustava datoteka | Kritično | 8.1 | Ne | Ne | RCE |
| CVE-2022-22039 | Ranjivost daljinskog izvođenja koda Windows mrežnog sustava datoteka | Kritično | 7.5 | Ne | Ne | RCE |
| CVE-2022-30215 | Ranjivost povećanja privilegija Active Directory Federation Services | Važno | 7.5 | Ne | Ne | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD CPU Branch Type Confusion | Važno | N/A | Ne | Ne | Info |
| CVE-2022-23825 * | AMD: CVE-2022-23825 AMD CPU Branch Type Confusion | Važno | N/A | Ne | Ne | Info |
| CVE-2022-30181 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33641 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33642 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33643 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33650 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33651 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33652 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.4 | Ne | Ne | EoP |
| CVE-2022-33653 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33654 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33655 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33656 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33657 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33658 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.4 | Ne | Ne | EoP |
| CVE-2022-33659 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33660 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33661 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33662 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33663 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33664 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33665 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33666 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33667 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33668 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33669 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33671 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 4.9 | Ne | Ne | EoP |
| CVE-2022-33672 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33673 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 6.5 | Ne | Ne | EoP |
| CVE-2022-33674 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 8.3 | Ne | Ne | EoP |
| CVE-2022-33675 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-33677 | Ranjivost povećanja privilegija oporavka Azure stranice | Važno | 7.2 | Ne | Ne | EoP |
| CVE-2022-33676 | Ranjivost daljinskog izvršavanja koda za oporavak Azure stranice | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-33678 | Ranjivost daljinskog izvršavanja koda za oporavak Azure stranice | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-30187 | Ranjivost otkrivanja informacija Azure Storage Library | Važno | 4.7 | Ne | Ne | Info |
| CVE-2022-22048 | Ranjivost zaobilaženja sigurnosne značajke BitLocker | Važno | 6.1 | Ne | Ne | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Ranjivost nedovoljno zaštićenih vjerodajnica može dovesti do curenja autentifikacije ili podataka zaglavlja kolačića | Važno | N/A | Ne | Ne | Info |
| CVE-2022-22040 | Ranjivost uskraćivanja usluge modula dinamičke kompresije internetskih informacijskih usluga | Važno | 7.3 | Ne | Ne | DoS |
| CVE-2022-33637 | Microsoft Defender za ranjivost neovlaštenog mijenjanja krajnje točke | Važno | 6.5 | Ne | Ne | petljanje |
| CVE-2022-33632 | Ranjivost zaobilaženja sigurnosne značajke Microsoft Officea | Važno | 4.7 | Ne | Ne | SFB |
| CVE-2022-22036 | Brojači performansi za ranjivost Windowsa zbog povećanja privilegija | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-33633 | Skype za posao i Lync ranjivost daljinskog izvršavanja koda | Važno | 7.2 | Ne | Ne | RCE |
| CVE-2022-22037 | Ranjivost povećanja privilegija poziva napredne lokalne procedure sustava Windows | Važno | 7.5 | Ne | Ne | EoP |
| CVE-2022-30202 | Ranjivost povećanja privilegija poziva napredne lokalne procedure sustava Windows | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-30224 | Ranjivost povećanja privilegija poziva napredne lokalne procedure sustava Windows | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-22711 | Windows BitLocker Ranjivost otkrivanja informacija | Važno | 6.7 | Ne | Ne | Info |
| CVE-2022-30203 | Ranjivost zaobilaženja sigurnosne značajke upravitelja pokretanja sustava Windows | Važno | 7.4 | Ne | Ne | SFB |
| CVE-2022-30220 | Windows Common Log File System Driver Ranjivost povećanja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-30212 | Ranjivost otkrivanja informacija platforme povezanih uređaja sa sustavom Windows | Važno | 4.7 | Ne | Ne | Info |
| CVE-2022-22031 | Windows Credential Guard Ranjivost povećanja privilegija javnog ključa pridruženog domeni | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-22026 | Ranjivost Windows CSRSS povećanja privilegija | Važno | 8.8 | Ne | Ne | EoP |
| CVE-2022-22049 | Ranjivost Windows CSRSS povećanja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-30214 | Ranjivost daljinskog izvođenja koda Windows DNS poslužitelja | Važno | 6.6 | Ne | Ne | RCE |
| CVE-2022-22043 | Ranjivost upravljačkog programa Windows Fast FAT File System Elevation of Privilege | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-22050 | Ranjivost povećanja privilegija Windows faks usluge | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-22024 | Ranjivost daljinskog izvršavanja koda usluge Windows Fax Service | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-22027 | Ranjivost daljinskog izvršavanja koda usluge Windows Fax Service | Važno | 7.8 | Ne | Ne | RCE |
| CVE-2022-30213 | Windows GDI+ Ranjivost otkrivanja informacija | Važno | 5.5 | Ne | Ne | Info |
| CVE-2022-22034 | Ranjivost povećanja privilegija grafičke komponente sustava Windows | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-30205 | Ranjivost povećanja privilegija pravila grupe Windows | Važno | 6.6 | Ne | Ne | EoP |
| CVE-2022-22042 | Windows Hyper-V Ranjivost otkrivanja informacija | Važno | 6.5 | Ne | Ne | Info |
| CVE-2022-30223 | Windows Hyper-V Ranjivost otkrivanja informacija | Važno | 5.7 | Ne | Ne | Info |
| CVE-2022-30209 | Ranjivost povećanja privilegija Windows IIS poslužitelja | Važno | 7.4 | Ne | Ne | EoP |
| CVE-2022-22025 | Ranjivost uskraćivanja usluge Cachuri modula Windows Internet Information Services | Važno | 7.5 | Ne | Ne | DoS |
| CVE-2022-21845 | Ranjivost otkrivanja informacija jezgre sustava Windows | Važno | 4.7 | Ne | Ne | Info |
| CVE-2022-30211 | Ranjivost daljinskog izvođenja koda Windows Layer 2 Tunneling Protocol (L2TP) | Važno | 7.5 | Ne | Ne | RCE |
| CVE-2022-30225 | Windows Media Player Network Sharing Service Ranjivost povećanja privilegija | Važno | 7.1 | Ne | Ne | EoP |
| CVE-2022-22028 | Ranjivost otkrivanja informacija o mrežnom datotečnom sustavu Windows | Važno | 5.9 | Ne | Ne | Info |
| CVE-2022-22023 | Ranjivost sigurnosne značajke zaobilaženja usluge Windows Portable Device Enumerator | Važno | 6.6 | Ne | Ne | SFB |
| CVE-2022-22022 | Windows Print Spooler Elevation of Privilege Ranjivost | Važno | 7.1 | Ne | Ne | EoP |
| CVE-2022-22041 | Windows Print Spooler Elevation of Privilege Ranjivost | Važno | 6.8 | Ne | Ne | EoP |
| CVE-2022-30206 | Windows Print Spooler Elevation of Privilege Ranjivost | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-30226 | Windows Print Spooler Elevation of Privilege Ranjivost | Važno | 7.1 | Ne | Ne | EoP |
| CVE-2022-30208 | Ranjivost uskraćivanja usluge Windows Security Account Manager (SAM). | Važno | 6.5 | Ne | Ne | DoS |
| CVE-2022-30216 | Ranjivost neovlaštenog mijenjanja usluge Windows Server | Važno | 8.8 | Ne | Ne | petljanje |
| CVE-2022-30222 | Ranjivost daljinskog izvođenja koda Windows Shell | Važno | 8.4 | Ne | Ne | RCE |
| CVE-2022-22045 | Windows. Uređaji. Picker.dll Ranjivost povećanja privilegija | Važno | 7.8 | Ne | Ne | EoP |
| CVE-2022-33644 | Ranjivost povećanja privilegija usluge spremanja usluge Xbox Live | Važno | 7 | Ne | Ne | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Prelijevanje međuspremnika gomile u WebRTC-u | visoko | N/A | Ne | Da | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Zabuna tipa u V8 | visoko | N/A | Ne | Ne | RCE |
Trebate imati na umu da ovog mjeseca ažuriranja Patch Tuesday ispravljaju aktivno iskorištavanu ranjivost povećanja privilegija nultog dana.
Tvrtka je klasificirala ranjivost kao nulti dan ako je javno objavljena ili se aktivno iskorištava bez dostupnog službenog popravka.
Da budemo jasniji, aktivno iskorištavana zero-day ranjivost koja je danas popravljena prati se kao CVE-2022-22047 – Windows CSRSS ranjivost povećanja privilegija.
Iskorištavanjem toga zlonamjerna treća strana zapravo bi mogla dobiti SUSTAVNE privilegije, kao što su Microsoftovi stručnjaci za sigurnost savjetovali u ovom nedavnom izdanju.
Također, jednako važno, upamtite da postoje tri popravka za greške uskraćivanja usluge (DoS) u ovomjesečnom izdanju, a sva su učinkovita.
A od 52 ispravka za EoP bugove, 30 njih se odnosi na bugove Azure Site Recovery, od kojih je jedan navodno pod aktivnim napadom.
Gledajući unaprijed, sljedeće sigurnosno ažuriranje Patch Tuesday uvođenje će biti 9. kolovoza, što je malo ranije nego što su neki očekivali.
Jeste li nakon instaliranja ovog mjeseca sigurnosnih ažuriranja pronašli neke druge probleme? Podijelite svoje mišljenje u odjeljku s komentarima u nastavku.
![Zakrpa za Windows 10 i 11. lipnja u utorak [VEZE ZA IZRAVNO PREUZIMANJE]](/f/e5799d8ebb8590142d4a8bab4c298088.jpg?width=300&height=460)
