- חודש די עמוס עבור מהדורת Microsoft Patch Tuesday, עם 71 CVEs.
- מתוך כל ה-CVEs, 68 סומנו כחשובים, ואף אחד כמתון.
- עם זאת, ענקית הטכנולוגיה של רדמונד נאלצה להתמודד עם שלושה באגים קריטיים מגעילים.
- כללנו כל אחד ואחד במאמר זה, עם קישורים ישירים גם כן.
זה שוב הזמן הזה בחודש, וכולם מסתכלים לעבר מיקרוסופט, בתקווה שחלק מהפגמים איתם הם נאבקו יתוקנו סוף סוף.
כבר סיפקנו את קישורי הורדה ישירים עבור העדכונים המצטברים שפורסמו היום עבור Windows 10 ו-11, אבל עכשיו הגיע הזמן לדבר שוב על פגיעויות קריטיות וחשיפות.
במונחים של נפח, השחרור של החודש עולה בקנה אחד עם מהדורות מרצ'ינג משנים קודמות, שהם בדרך כלל בסביבות 60-70 CVEs.
בואו נצלול ישר לתוכו ונראה אילו נקודות תורפה נעלמו לחלוטין מהחיים שלנו, עכשיו כשהטלאים האלה פעילים.
שלושה באגים קריטיים טופלו החודש
במשך החודש השלישי של 2022, מיקרוסופט פרסמה 71 תיקונים חדשים. זה בנוסף ל-21 CVEs שתוקנה על ידי Microsoft Edge (מבוסס Chromium) מוקדם יותר החודש, מה שמביא את הסכום הכולל של מרץ ל-92 CVEs.
אז, 71 התיקונים החדשים שהפכו לזמינים היום מתייחסים ל-CVE ב:
- NET ו-Visual Studio
- שחזור אתר Azure
- Microsoft Defender for Endpoint
- Microsoft Defender עבור IoT
- Microsoft Edge (מבוסס כרום)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- ספריית הקודקים של Microsoft Windows
- צבע תלת מימד
- תפקיד: Windows Hyper-V
- הרחבת Skype עבור Chrome
- ממשק משתמש של Windows Tablet
- Visual Studio Code
- מנהל התקן פונקציה נלווה של Windows עבור WinSock
- מנהל התקן CD-ROM של Windows
- מנהל התקן מסנן מיני של Windows Cloud Files
- Windows COM
- מנהל ההתקן של מערכת קבצי היומן הנפוצים של Windows
- ספריית הליבה של Windows DWM
- מעקב אחר אירועים של Windows
- מנהל התקן של Windows Fastfat
- שירות פקס וסריקה של Windows
- פלטפורמת HTML של Windows
- מתקין וינדוס
- ליבת Windows
- Windows Media
- Windows PDEV
- פרוטוקול מנהור נקודה לנקודה של Windows
- רכיבי Windows Print Spooler
- שולחן עבודה מרוחק של Windows
- ממשק ספק תמיכה באבטחה של Windows
- שרת Windows SMB
- ערימת Windows Update
- אקס בוקס
מה שחשוב גם להזכיר הוא שמתוך 71 CVEs שפורסמו היום, שלושה מדורגים קריטיים ו-68 מדורגים חשובים בחומרתם.
מספר התיקונים בדירוג קריטי שוב נמוך באופן מוזר עבור מספר הבאגים הזה, על פי מומחים וכמה מהמשתמשים היותר מבינים בטכנולוגיה.
יתר על כן, עדיין לא ברור אם האחוז הנמוך הזה של באגים הוא רק צירוף מקרים או ש-Microsoft עשויה להעריך את חומרת השימוש בחישוב שונה מאשר בעבר.
CVE | כותרת | חוּמרָה | CVSS | פּוּמְבֵּי | מְנוּצָל | סוּג |
CVE-2022-24512 | פגיעות של ביצוע קוד מרחוק של .NET ו-Visual Studio | חָשׁוּב | 6.3 | כן | לא | RCE |
CVE-2022-21990 | פגיעות של ביצוע קוד מרחוק של לקוח שולחן עבודה מרוחק | חָשׁוּב | 8.8 | כן | לא | RCE |
CVE-2022-24459 | פגיעות של שיפור הרשאות בשירות הפקס והסריקה של Windows | חָשׁוּב | 7.8 | כן | לא | EoP |
CVE-2022-22006 | פגיעות של ביצוע קוד מרחוק של הרחבות וידאו של HEVC | קריטי | 7.8 | לא | לא | RCE |
CVE-2022-23277 | פגיעות של ביצוע קוד מרחוק של Microsoft Exchange Server | קריטי | 8.8 | לא | לא | RCE |
CVE-2022-24501 | פגיעות של ביצוע קוד מרחוק של תוספי וידאו VP9 | קריטי | 7.8 | לא | לא | RCE |
CVE-2022-24508 | פגיעות של ביצוע קוד מרחוק של Windows SMBv3 Client/Server | חָשׁוּב | 8.8 | לא | לא | RCE |
CVE-2022-21967 | Xbox Live Auth Manager לפגיעות של העלאת הרשאות של Windows | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-24464 | .NET ו-Visual Studio פגיעות של מניעת שירות | חָשׁוּב | 7.5 | לא | לא | DoS |
CVE-2022-24469 | פגיעות העלאת הרשאות של שחזור אתר Azure | חָשׁוּב | 8.1 | לא | לא | EoP |
CVE-2022-24506 | פגיעות העלאת הרשאות של שחזור אתר Azure | חָשׁוּב | 6.5 | לא | לא | EoP |
CVE-2022-24515 | פגיעות העלאת הרשאות של שחזור אתר Azure | חָשׁוּב | 6.5 | לא | לא | EoP |
CVE-2022-24518 | פגיעות העלאת הרשאות של שחזור אתר Azure | חָשׁוּב | 6.5 | לא | לא | EoP |
CVE-2022-24519 | פגיעות העלאת הרשאות של שחזור אתר Azure | חָשׁוּב | 6.5 | לא | לא | EoP |
CVE-2022-24467 | פגיעות של ביצוע קוד מרחוק של Azure Site Recovery | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2022-24468 | פגיעות של ביצוע קוד מרחוק של Azure Site Recovery | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2022-24470 | פגיעות של ביצוע קוד מרחוק של Azure Site Recovery | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2022-24471 | פגיעות של ביצוע קוד מרחוק של Azure Site Recovery | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2022-24517 | פגיעות של ביצוע קוד מרחוק של Azure Site Recovery | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2022-24520 | פגיעות של ביצוע קוד מרחוק של Azure Site Recovery | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2020-8927 * | פגיעות של גלישת מאגר של ספריית Brotli | חָשׁוּב | 6.5 | לא | לא | לא |
CVE-2022-24457 | HEIF Image Extensions פגיעות של ביצוע קוד מרחוק | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-22007 | פגיעות של ביצוע קוד מרחוק של הרחבות וידאו של HEVC | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-23301 | פגיעות של ביצוע קוד מרחוק של הרחבות וידאו של HEVC | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-24452 | פגיעות של ביצוע קוד מרחוק של הרחבות וידאו של HEVC | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-24453 | פגיעות של ביצוע קוד מרחוק של הרחבות וידאו של HEVC | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-24456 | פגיעות של ביצוע קוד מרחוק של הרחבות וידאו של HEVC | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-21977 | פגיעות בחשיפת מידע של קרן המדיה | חָשׁוּב | 3.3 | לא | לא | מידע |
CVE-2022-22010 | פגיעות בחשיפת מידע של קרן המדיה | חָשׁוּב | 4.4 | לא | לא | מידע |
CVE-2022-23278 | Microsoft Defender לפגיעות של זיוף נקודות קצה | חָשׁוּב | 5.9 | לא | לא | זיוף |
CVE-2022-23266 | Microsoft Defender לפגיעות של העלאת זכויות IoT | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-23265 | Microsoft Defender לפגיעות של ביצוע קוד מרחוק של IoT | חָשׁוּב | 7.2 | לא | לא | RCE |
CVE-2022-24463 | פגיעות זיוף של Microsoft Exchange Server | חָשׁוּב | 6.5 | לא | לא | זיוף |
CVE-2022-24465 | פורטל Intune של Microsoft עבור תכונות אבטחה של iOS לעקוף פגיעות | חָשׁוּב | 3.3 | לא | לא | SFB |
CVE-2022-24461 | פגיעות של ביצוע קוד מרחוק של Microsoft Office Visio | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-24509 | פגיעות של ביצוע קוד מרחוק של Microsoft Office Visio | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-24510 | פגיעות של ביצוע קוד מרחוק של Microsoft Office Visio | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-24511 | פגיעות חבלה של Microsoft Office Word | חָשׁוּב | 5.5 | לא | לא | התעסקות |
CVE-2022-24462 | מאפיין האבטחה של Microsoft Word עוקף את הפגיעות | חָשׁוּב | 5.5 | לא | לא | SFB |
CVE-2022-23282 | פגיעות של ביצוע קוד מרחוק של Paint 3D | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-23253 | פגיעות של פרוטוקול מניעת שירות מנקודה לנקודה | חָשׁוּב | 6.5 | לא | לא | DoS |
CVE-2022-23295 | פגיעות של ביצוע קוד מרחוק של הרחבת תמונה גולמית | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-23300 | פגיעות של ביצוע קוד מרחוק של הרחבת תמונה גולמית | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-23285 | פגיעות של ביצוע קוד מרחוק של לקוח שולחן עבודה מרוחק | חָשׁוּב | 8.8 | לא | לא | RCE |
CVE-2022-24503 | פגיעות של חשיפת פרטי לקוח בפרוטוקול שולחן עבודה מרוחק | חָשׁוּב | 5.4 | לא | לא | מידע |
CVE-2022-24522 | הרחבת Skype עבור פגיעות של חשיפת מידע של Chrome | חָשׁוּב | 7.5 | לא | לא | מידע |
CVE-2022-24460 | פגיעות של העלאת הרשאות של ממשק משתמש של Windows בטאבלט | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-24526 | פגיעות זיוף קוד Visual Studio | חָשׁוּב | 6.1 | לא | לא | זיוף |
CVE-2022-24451 | פגיעות של ביצוע קוד מרחוק של תוספי וידאו VP9 | חָשׁוּב | 7.8 | לא | לא | RCE |
CVE-2022-23283 | פגיעות העלאת הרשאות של Windows ALPC | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-23287 | פגיעות העלאת הרשאות של Windows ALPC | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-24505 | פגיעות העלאת הרשאות של Windows ALPC | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-24507 | מנהל התקן עזר של Windows עבור פגיעות של העלאת הרשאות של WinSock | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-24455 | פגיעות של העלאת הרשאות של מנהלי התקליטור של Windows CD-ROM | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-23286 | פגיעות של העלאת הרשאות של מנהל התקן מיני קבצי ענן של Windows | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-23281 | פגיעות של גילוי מידע על מנהלי התקנים של מערכת היומן הנפוצות של Windows | חָשׁוּב | 5.5 | לא | לא | מידע |
CVE-2022-23288 | פגיעות העלאת הרשאות בספריית ליבת Windows DWM | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-23291 | פגיעות העלאת הרשאות בספריית ליבת Windows DWM | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-23294 | פגיעות של ביצוע קוד מרחוק של מעקב אחר אירועי Windows | חָשׁוּב | 8.8 | לא | לא | RCE |
CVE-2022-23293 | פגיעות של העלאת הרשאות של מערכת הקבצים של Windows Fast FAT | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-24502 | תכונת האבטחה של פלטפורמות HTML של Windows לעקוף את הפגיעות | חָשׁוּב | 4.3 | לא | לא | SFB |
CVE-2022-21975 | פגיעות של מניעת שירות של Windows Hyper-V | חָשׁוּב | 4.7 | לא | לא | DoS |
CVE-2022-23290 | פגיעות של העלאת הרשאות של Windows Inking COM | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-23296 | פגיעות העלאת הרשאות של Windows Installer | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-21973 | פגיעות של מניעת שירות של עדכון Windows Media Center | חָשׁוּב | 5.5 | לא | לא | DoS |
CVE-2022-23297 | פגיעות של חשיפת מידע מנהלי התקן של Windows NT Lan Manager Datagram Datagram | חָשׁוּב | 5.5 | לא | לא | מידע |
CVE-2022-23298 | פגיעות של העלאת זכויות בליבת מערכת ההפעלה Windows NT | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-23299 | פגיעות של העלאת הרשאות של Windows PDEV | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-23284 | פגיעות העלאת הרשאות של Windows Print Spooler | חָשׁוּב | 7.2 | לא | לא | EoP |
CVE-2022-24454 | פגיעות של העלאת הרשאות של ספק תמיכה באבטחה של Windows | חָשׁוּב | 7.8 | לא | לא | EoP |
CVE-2022-24525 | פגיעות של העלאת הרשאות מחסנית של Windows Update | חָשׁוּב | 7 | לא | לא | EoP |
CVE-2022-0789 | Chromium: גלישת מאגר ערימה ב-ANGLE | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0797 | Chromium: גישה לזיכרון מחוץ לתחום ב-Mojo | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0792 | Chromium: מחוץ לתחום נקרא ב-ANGLE | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0795 | Chromium: הקלד בלבול ב-Blink Layout | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0790 | Chromium: השתמש לאחר חינם בממשק המשתמש של Cast | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0796 | Chromium: השתמש לאחר חינם במדיה | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0791 | Chromium: השתמש לאחר בחינם בסרגל הכתובות | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0793 | Chromium: השתמש לאחר חינם ב-Views | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0794 | Chromium: השתמש לאחר בחינם ב-WebShare | גָבוֹהַ | לא | לא | לא | RCE |
CVE-2022-0800 | Chromium: גלישת מאגר ערימה בממשק המשתמש של Cast | בינוני | לא | לא | לא | RCE |
CVE-2022-0807 | Chromium: יישום לא הולם במילוי אוטומטי | בינוני | לא | לא | לא | מידע |
CVE-2022-0802 | Chromium: יישום לא הולם במצב מסך מלא | בינוני | לא | לא | לא | מידע |
CVE-2022-0804 | Chromium: יישום לא הולם במצב מסך מלא | בינוני | לא | לא | לא | מידע |
CVE-2022-0801 | Chromium: יישום לא הולם במנתח HTML | בינוני | לא | לא | לא | התעסקות |
CVE-2022-0803 | Chromium: יישום לא הולם בהרשאות | בינוני | לא | לא | לא | SFB |
CVE-2022-0799 | Chromium: אכיפת מדיניות לא מספקת ב-Installer | בינוני | לא | לא | לא | SFB |
CVE-2022-0809 | Chromium: גישה לזיכרון מחוץ לתחום ב-WebXR | בינוני | לא | לא | לא | RCE |
CVE-2022-0805 | Chromium: השתמש לאחר בחינם ב-Browner Switcher | בינוני | לא | לא | לא | RCE |
CVE-2022-0808 | Chromium: השתמש לאחר בחינם ב-Chrome OS Shell | בינוני | לא | לא | לא | RCE |
CVE-2022-0798 | Chromium: השתמש לאחר חינם ב-MediaStream | בינוני | לא | לא | לא | RCE |
זכור שאף אחד מהבאגים אינו רשום תחת ניצול פעיל החודש, בעוד ששלושה רשומים כידועים בציבור בזמן השחרור.
אלו הם כל ה-CVEs המטופלים עם מהדורת החודש של Patch Tuesday. בסך הכל, זה היה חודש די כבד אך בטוח, בהשוואה למצבים קודמים.
אצווה התוכנה הבאה של Patch Tuesday תגיע ב-12 באפריל וכולנו סקרנים לראות מה מייקרוסופט תמציא עד אז.
בואו כולנו נקווה שלא נצטרך להתמודד עם בעיות קריטיות, וזה יהיה רק חלק מעכשיו והלאה.
האם מאמר זה עזר לך? שתף את דעתך בקטע ההערות למטה.