- საკმაოდ დატვირთული თვე Microsoft Patch სამშაბათის გამოშვებისთვის, 71 CVE-ით.
- ყველა CVE-დან 68 იყო მონიშნული, როგორც მნიშვნელოვანი და არც ერთი, როგორც ზომიერი.
- თუმცა, რედმონდის ტექნოლოგიურ გიგანტს მოუწია გამკლავება სამ კრიტიკულ შეცდომასთან.
- ჩვენ ამ სტატიაში ჩავწერეთ თითოეული და ყველა, ასევე პირდაპირი ბმულებით.
ისევ თვის ის დროა და ყველა იყურება Microsoft-ისკენ, იმ იმედით, რომ ზოგიერთი ხარვეზი, რომელთანაც ისინი იბრძოდნენ, საბოლოოდ გამოსწორდება.
ჩვენ უკვე მივაწოდეთ პირდაპირი ჩამოტვირთვის ლინკები Windows 10-ისა და 11-ისთვის დღეს გამოშვებული კუმულატიური განახლებისთვის, მაგრამ ახლა დროა ისევ ვისაუბროთ კრიტიკულ დაუცველობაზე და ექსპოზიციებზე.
წონის თვალსაზრისით, ამ თვის გამოშვება ემთხვევა წინა წლების საქონლის გამოშვებებს, რომლებიც ჩვეულებრივ დაახლოებით 60-70 CVE-ია.
მოდით ჩავუღრმავდეთ მასში და ვნახოთ, რა მოწყვლადობა მთლიანად გაქრა ჩვენი ცხოვრებიდან, ახლა, როდესაც ეს ლაქები ცოცხალია.
სამი კრიტიკული ხარვეზი მოგვარდა ამ თვეში
2022 წლის მესამე თვისთვის Microsoft-მა გამოუშვა 71 ახალი პაჩი. ეს არის დამატებით 21 CVE-ს, რომელიც შესწორებულია Microsoft Edge-ის მიერ (Chromium-ზე დაფუძნებული) ამ თვის დასაწყისში, რაც მარტის საერთო რაოდენობას 92-მდე CVE-ს მიაღწევს.
ასე რომ, 71 ახალი პატჩი, რომელიც დღეს გახდა ხელმისაწვდომი, მიმართავს CVE-ებს:
- .NET და Visual Studio
- Azure საიტის აღდგენა
- Microsoft Defender ბოლო წერტილისთვის
- Microsoft Defender IoT-სთვის
- Microsoft Edge (Chromium-ზე დაფუძნებული)
- Microsoft Exchange სერვერი
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Microsoft Windows კოდეკების ბიბლიოთეკა
- ხატვა 3D
- როლი: Windows Hyper-V
- სკაიპის გაფართოება Chrome-ისთვის
- პლანშეტი Windows მომხმარებლის ინტერფეისი
- ვიზუალური სტუდიის კოდი
- Windows დამხმარე ფუნქციის დრაივერი WinSock-ისთვის
- Windows CD-ROM დრაივერი
- Windows Cloud Files Mini Filter Driver
- Windows COM
- Windows Common Log ფაილური სისტემის დრაივერი
- Windows DWM Core ბიბლიოთეკა
- Windows მოვლენის თვალყურის დევნება
- Windows Fastfat დრაივერი
- Windows ფაქსისა და სკანირების სერვისი
- Windows HTML პლატფორმა
- Windows ინსტალერი
- ვინდოუსის ბირთვი
- Windows Media
- Windows PDEV
- Windows Point-to-Point გვირაბის პროტოკოლი
- Windows Print Spooler კომპონენტები
- Windows დისტანციური სამუშაო მაგიდა
- Windows უსაფრთხოების მხარდაჭერის პროვაიდერის ინტერფეისი
- Windows SMB სერვერი
- Windows Update Stack
- XBox
ასევე მნიშვნელოვანია აღინიშნოს, რომ დღეს გამოქვეყნებული 71 CVE-დან სამი შეფასებულია კრიტიკულად, ხოლო 68 შეფასებულია მნიშვნელოვანი სიმძიმით.
ექსპერტებისა და ზოგიერთი უფრო ტექნიკური მომხმარებლის აზრით, კრიტიკულად შეფასებული პაჩების რაოდენობა კვლავ უცნაურად დაბალია ამ რაოდენობის შეცდომებისთვის.
გარდა ამისა, ჯერ კიდევ გაურკვეველია, შეცდომების ეს დაბალი პროცენტი მხოლოდ დამთხვევაა თუ მაიკროსოფტი შესაძლოა აფასებს სიმძიმეს სხვადასხვა გაანგარიშების გამოყენებით, ვიდრე წარსულში.
| CVE | სათაური | სიმძიმე | CVSS | საჯარო | ექსპლუატირებული | ტიპი |
| CVE-2022-24512 | .NET და Visual Studio დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 6.3 | დიახ | არა | RCE |
| CVE-2022-21990 | დისტანციური დესკტოპის კლიენტი დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 8.8 | დიახ | არა | RCE |
| CVE-2022-24459 | Windows ფაქსისა და სკანირების სერვისის პრივილეგიის დაუცველობის გაზრდა | Მნიშვნელოვანი | 7.8 | დიახ | არა | EoP |
| CVE-2022-22006 | HEVC ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 7.8 | არა | არა | RCE |
| CVE-2022-23277 | Microsoft Exchange Server დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 8.8 | არა | არა | RCE |
| CVE-2022-24501 | VP9 ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 7.8 | არა | არა | RCE |
| CVE-2022-24508 | Windows SMBv3 კლიენტის/სერვერის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 8.8 | არა | არა | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager Windows-ისთვის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-24464 | .NET-ისა და Visual Studio-ს სერვისის უარყოფის დაუცველობა | Მნიშვნელოვანი | 7.5 | არა | არა | DoS |
| CVE-2022-24469 | Azure საიტის აღდგენის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 8.1 | არა | არა | EoP |
| CVE-2022-24506 | Azure საიტის აღდგენის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-24515 | Azure საიტის აღდგენის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-24518 | Azure საიტის აღდგენის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-24519 | Azure საიტის აღდგენის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-24467 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-24468 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-24470 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-24471 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-24517 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-24520 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2020-8927 * | ბროტლის ბიბლიოთეკის ბუფერული დაუცველობა | Მნიშვნელოვანი | 6.5 | არა | არა | N/A |
| CVE-2022-24457 | HEIF Image Extensions დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-22007 | HEVC ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-23301 | HEVC ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-24452 | HEVC ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-24453 | HEVC ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-24456 | HEVC ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-21977 | მედია ფონდის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 3.3 | არა | არა | ინფორმაცია |
| CVE-2022-22010 | მედია ფონდის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 4.4 | არა | არა | ინფორმაცია |
| CVE-2022-23278 | Microsoft Defender ბოლო წერტილის გაფუჭების დაუცველობისთვის | Მნიშვნელოვანი | 5.9 | არა | არა | გაფუჭება |
| CVE-2022-23266 | Microsoft Defender IoT-ის პრივილეგიების დაუცველობის ამაღლებისთვის | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-23265 | Microsoft Defender IoT დისტანციური კოდის შესრულების დაუცველობისთვის | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-24463 | Microsoft Exchange Server Spoofing დაუცველობა | Მნიშვნელოვანი | 6.5 | არა | არა | გაფუჭება |
| CVE-2022-24465 | Microsoft Intune პორტალი iOS-ისთვის უსაფრთხოების ფუნქციის გვერდის ავლით დაუცველობა | Მნიშვნელოვანი | 3.3 | არა | არა | SFB |
| CVE-2022-24461 | Microsoft Office Visio დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-24509 | Microsoft Office Visio დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-24510 | Microsoft Office Visio დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-24511 | Microsoft Office Word-ის გაყალბების დაუცველობა | Მნიშვნელოვანი | 5.5 | არა | არა | თაღლითობა |
| CVE-2022-24462 | Microsoft Word-ის უსაფრთხოების ფუნქციის გვერდის ავლით დაუცველობა | Მნიშვნელოვანი | 5.5 | არა | არა | SFB |
| CVE-2022-23282 | Paint 3D დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-23253 | სერვისის უარყოფის პროტოკოლის წერტილიდან წერტილამდე გვირაბის გაყვანის დაუცველობა | Მნიშვნელოვანი | 6.5 | არა | არა | DoS |
| CVE-2022-23295 | Raw Image Extension დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-23300 | Raw Image Extension დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-23285 | დისტანციური დესკტოპის კლიენტი დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 8.8 | არა | არა | RCE |
| CVE-2022-24503 | დისტანციური დესკტოპის პროტოკოლის კლიენტის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 5.4 | არა | არა | ინფორმაცია |
| CVE-2022-24522 | სკაიპის გაფართოება Chrome-ისთვის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 7.5 | არა | არა | ინფორმაცია |
| CVE-2022-24460 | ტაბლეტი Windows მომხმარებლის ინტერფეისის აპლიკაციის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-24526 | Visual Studio Code Spoofing დაუცველობა | Მნიშვნელოვანი | 6.1 | არა | არა | გაფუჭება |
| CVE-2022-24451 | VP9 ვიდეო გაფართოებების დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-23283 | Windows ALPC პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-23287 | Windows ALPC პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-24505 | Windows ALPC პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-24507 | Windows დამხმარე ფუნქციის დრაივერი WinSock-ის პრივილეგიის დაუცველობის ამაღლებისთვის | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-24455 | Windows CD-ROM დრაივერის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-23286 | Windows Cloud Files Mini Filter Driver პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-23281 | Windows-ის საერთო ჟურნალის ფაილური სისტემის დრაივერის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 5.5 | არა | არა | ინფორმაცია |
| CVE-2022-23288 | Windows DWM Core ბიბლიოთეკის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-23291 | Windows DWM Core ბიბლიოთეკის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-23294 | Windows Event Tracing დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 8.8 | არა | არა | RCE |
| CVE-2022-23293 | Windows Fast FAT ფაილური სისტემის დრაივერის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-24502 | Windows HTML პლატფორმების უსაფრთხოების ფუნქციის გვერდის ავლით დაუცველობა | Მნიშვნელოვანი | 4.3 | არა | არა | SFB |
| CVE-2022-21975 | Windows Hyper-V სერვისის უარყოფის დაუცველობა | Მნიშვნელოვანი | 4.7 | არა | არა | DoS |
| CVE-2022-23290 | Windows Inking COM პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-23296 | Windows Installer-ის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-21973 | Windows Media Center-ის განახლების სერვისის უარყოფის დაუცველობა | Მნიშვნელოვანი | 5.5 | არა | არა | DoS |
| CVE-2022-23297 | Windows NT Lan Manager Datagram Receiver Driver ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 5.5 | არა | არა | ინფორმაცია |
| CVE-2022-23298 | Windows NT OS ბირთვის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-23299 | Windows PDEV პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-23284 | Windows Print Spooler-ის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.2 | არა | არა | EoP |
| CVE-2022-24454 | Windows უსაფრთხოების მხარდაჭერის პროვაიდერის ინტერფეისი პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-24525 | Windows Update Stack Elevation of Privilege Vulnerability | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-0789 | Chromium: გროვის ბუფერის გადადინება ANGLE-ში | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0797 | Chromium: მეხსიერების საზღვრებს გარეთ წვდომა Mojo-ში | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0792 | Chromium: საზღვრებს გარეთ წაკითხული ANGLE-ში | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0795 | Chromium: აკრიფეთ Confusion მოციმციმე განლაგებაში | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0790 | Chromium: გამოიყენეთ Cast UI-ში გათავისუფლების შემდეგ | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0796 | Chromium: გამოიყენეთ მას შემდეგ, რაც უფასოა მედიაში | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0791 | Chromium: გამოიყენეთ Omnibox-ში უფასოს შემდეგ | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0793 | Chromium: გამოიყენეთ ხილვებში უფასოს შემდეგ | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0794 | Chromium: გამოიყენეთ WebShare-ში გათავისუფლების შემდეგ | მაღალი | N/A | არა | არა | RCE |
| CVE-2022-0800 | Chromium: გროვის ბუფერის გადადინება Cast UI-ში | საშუალო | N/A | არა | არა | RCE |
| CVE-2022-0807 | Chromium: შეუსაბამო დანერგვა ავტომატურ შევსებაში | საშუალო | N/A | არა | არა | ინფორმაცია |
| CVE-2022-0802 | Chromium: შეუსაბამო დანერგვა სრული ეკრანის რეჟიმში | საშუალო | N/A | არა | არა | ინფორმაცია |
| CVE-2022-0804 | Chromium: შეუსაბამო დანერგვა სრული ეკრანის რეჟიმში | საშუალო | N/A | არა | არა | ინფორმაცია |
| CVE-2022-0801 | Chromium: შეუსაბამო დანერგვა HTML პარსერში | საშუალო | N/A | არა | არა | თაღლითობა |
| CVE-2022-0803 | Chromium: შეუსაბამო დანერგვა ნებართვებში | საშუალო | N/A | არა | არა | SFB |
| CVE-2022-0799 | Chromium: პოლიტიკის არასაკმარისი აღსრულება Installer-ში | საშუალო | N/A | არა | არა | SFB |
| CVE-2022-0809 | Chromium: მეხსიერების საზღვრებს გარეთ წვდომა WebXR-ში | საშუალო | N/A | არა | არა | RCE |
| CVE-2022-0805 | Chromium: გამოიყენეთ მას შემდეგ, რაც უფასოა ბრაუზერის გადამრთველში | საშუალო | N/A | არა | არა | RCE |
| CVE-2022-0808 | Chromium: გამოიყენეთ უფასო შემდეგ Chrome OS Shell-ში | საშუალო | N/A | არა | არა | RCE |
| CVE-2022-0798 | Chromium: გამოიყენეთ MediaStream-ში გათავისუფლების შემდეგ | საშუალო | N/A | არა | არა | RCE |
გაითვალისწინეთ, რომ არცერთი შეცდომა არ არის ჩამოთვლილი, როგორც აქტიური ექსპლუატაციის ქვეშ ამ თვეში, ხოლო სამი ჩამოთვლილია, როგორც საჯაროდ ცნობილი გამოშვების დროს.
ეს არის ყველა CVE, რომელიც მიმართულია ამ თვის Patch Tuesday გამოშვებით. საერთო ჯამში, ეს იყო საკმაოდ მძიმე, მაგრამ უსაფრთხო თვე, წინა სიტუაციებთან შედარებით.
პროგრამული უზრუნველყოფის შემდეგი Patch Tuesday პარტია გამოვა 12 აპრილს და ჩვენ ყველას გვაინტერესებს ვნახოთ, რას გამოიმუშავებს Microsoft მანამდე.
იმედი ვიქონიოთ, რომ კრიტიკულ პრობლემებთან გამკლავება არ მოგვიწევს და ამიერიდან ეს მხოლოდ შეუფერხებელი იქნება.
იყო ეს სტატია თქვენთვის სასარგებლო? გააზიარეთ თქვენი აზრი ქვემოთ მოცემულ კომენტარებში.
