- 2022 წლის ივლისისთვის, Microsoft-მა გამოაქვეყნა 84-იანი გრძელი სია უსაფრთხოების ახალი განახლებები.
- ყველა CVE-დან,5 არის კრიტიკული და მათგან 80 ჩამოთვლილია, როგორც მნიშვნელოვანი.
- ჩვენ ამ სტატიაში ჩავწერეთ თითოეული და ყველა, ასევე პირდაპირი ბმულებით
თუ თავს ცოტა უხერხულად გრძნობთ, ეს იმიტომ ხდება, რომ ჩვენ უკვე ივლისში ვართ და ტემპერატურა ნელ-ნელა იწყებს ჩვენს ოფისებს.
თუმცა, Windows-ის მომხმარებლები ეძებენ Microsoft-ს იმ იმედით, რომ ზოგიერთი ხარვეზი, რომელთანაც ისინი იბრძოდნენ, საბოლოოდ გამოსწორდება.
ჩვენ უკვე მივაწოდეთ პირდაპირი ჩამოტვირთვის ლინკები Windows 10-ისა და 11-ისთვის დღეს გამოშვებული კუმულაციური განახლებისთვის, მაგრამ ახლა დროა კვლავ ვისაუბროთ კრიტიკულ დაუცველობაზე და ექსპოზიციებზე.
ამ თვეში რედმონდის ტექნოლოგიურმა გიგანტმა გამოუშვა 84 ახალი პაჩი, რაც ბევრად მეტია, ვიდრე ზოგიერთი ადამიანი აღდგომის შემდეგ ელოდა.
ეს პროგრამული განახლებები მიმართავს CVE-ებს შემდეგში:
- Microsoft Windows და Windows კომპონენტები
- Windows Azure კომპონენტები
- Microsoft Defender ბოლო წერტილისთვის
- Microsoft Edge (Chromium-ზე დაფუძნებული)
- ოფისი და ოფისის კომპონენტები
- Windows BitLocker
- Windows Hyper-V
- Skype for Business და Microsoft Lync
- ღია პროგრამული უზრუნველყოფა
- Xbox
Microsoft ასწორებს 84 ხარვეზს 2022 წლის ივლისში
საკმაოდ უსაფრთხოდ შეიძლება ითქვას, რომ ეს არ იყო არც ყველაზე დატვირთული და არც მსუბუქი თვე რედმონდში დაფუძნებული უსაფრთხოების ექსპერტებისთვის.
შეიძლება გნებავთ იცოდეთ, რომ გამოშვებული 84 ახალი CVE-დან 4 შეფასებულია კრიტიკულად, ხოლო დანარჩენი მათგანი (80) შეფასებულია როგორც მნიშვნელოვანი.
ჩვენ ვსაუბრობთ პრივილეგიის დაუცველობის 52 ამაღლებაზე, 4 უსაფრთხოების ფუნქციის შემოვლითი დაუცველობაზე, 12 დისტანციური კოდის შესრულების დაუცველობა, ინფორმაციის გამჟღავნების 11 დაუცველობა და 5 უარი სერვისზე სისუსტეები
| CVE | სათაური | სიმძიმე | CVSS | საჯარო | ექსპლუატირებული | ტიპი |
| CVE-2022-22047 | Windows CSRSS პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | დიახ | EoP |
| CVE-2022-22038 | დისტანციური პროცედურის ზარის გაშვების დრო დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 8.1 | არა | არა | RCE |
| CVE-2022-30221 | Windows Graphics კომპონენტის დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 8.8 | არა | არა | RCE |
| CVE-2022-22029 | Windows ქსელის ფაილური სისტემის დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 8.1 | არა | არა | RCE |
| CVE-2022-22039 | Windows ქსელის ფაილური სისტემის დისტანციური კოდის შესრულების დაუცველობა | Კრიტიკული | 7.5 | არა | არა | RCE |
| CVE-2022-30215 | Active Directory Federation Services პრივილეგიის მოწყვლადობის ამაღლება | Მნიშვნელოვანი | 7.5 | არა | არა | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD CPU ფილიალის ტიპის დაბნეულობა | Მნიშვნელოვანი | N/A | არა | არა | ინფორმაცია |
| CVE-2022-23825 * | AMD: CVE-2022-23825 AMD CPU ფილიალის ტიპის დაბნეულობა | Მნიშვნელოვანი | N/A | არა | არა | ინფორმაცია |
| CVE-2022-30181 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33641 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33642 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33643 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33650 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33651 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33652 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.4 | არა | არა | EoP |
| CVE-2022-33653 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33654 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33655 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33656 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33657 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33658 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.4 | არა | არა | EoP |
| CVE-2022-33659 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33660 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33661 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33662 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33663 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33664 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33665 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33666 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33667 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33668 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33669 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33671 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 4.9 | არა | არა | EoP |
| CVE-2022-33672 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33673 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.5 | არა | არა | EoP |
| CVE-2022-33674 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 8.3 | არა | არა | EoP |
| CVE-2022-33675 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-33677 | Azure საიტის აღდგენა პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.2 | არა | არა | EoP |
| CVE-2022-33676 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-33678 | Azure საიტის აღდგენის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-30187 | Azure Storage Library ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 4.7 | არა | არა | ინფორმაცია |
| CVE-2022-22048 | BitLocker უსაფრთხოების ფუნქციის შემოვლითი დაუცველობა | Მნიშვნელოვანი | 6.1 | არა | არა | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 არასაკმარისად დაცული სერთიფიკატების დაუცველობამ შესაძლოა გაჟონოს ავთენტიფიკაცია ან ქუქიების სათაურის მონაცემები | Მნიშვნელოვანი | N/A | არა | არა | ინფორმაცია |
| CVE-2022-22040 | ინტერნეტ საინფორმაციო სერვისები დინამიური შეკუმშვის მოდული სერვისის უარყოფა დაუცველობა | Მნიშვნელოვანი | 7.3 | არა | არა | DoS |
| CVE-2022-33637 | Microsoft Defender ბოლო წერტილის შეფერხების დაუცველობისთვის | Მნიშვნელოვანი | 6.5 | არა | არა | თაღლითობა |
| CVE-2022-33632 | Microsoft Office უსაფრთხოების ფუნქციის გვერდის ავლით დაუცველობა | Მნიშვნელოვანი | 4.7 | არა | არა | SFB |
| CVE-2022-22036 | შესრულების მრიცხველები Windows-ის პრივილეგიის დაუცველობის ამაღლებისთვის | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-33633 | Skype for Business და Lync დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.2 | არა | არა | RCE |
| CVE-2022-22037 | Windows Advanced Local Procedure ზარის ამაღლება პრივილეგიის დაუცველობა | Მნიშვნელოვანი | 7.5 | არა | არა | EoP |
| CVE-2022-30202 | Windows Advanced Local Procedure ზარის ამაღლება პრივილეგიის დაუცველობა | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-30224 | Windows Advanced Local Procedure ზარის ამაღლება პრივილეგიის დაუცველობა | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-22711 | Windows BitLocker ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 6.7 | არა | არა | ინფორმაცია |
| CVE-2022-30203 | Windows Boot Manager უსაფრთხოების ფუნქციის გვერდის ავლით დაუცველობა | Მნიშვნელოვანი | 7.4 | არა | არა | SFB |
| CVE-2022-30220 | Windows საერთო ჟურნალის ფაილური სისტემის დრაივერის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-30212 | Windows დაკავშირებული მოწყობილობების პლატფორმის სერვისის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 4.7 | არა | არა | ინფორმაცია |
| CVE-2022-22031 | Windows Credential Guard Domain-თან მიერთებული პრივილეგიის დაუცველობის საჯარო გასაღების ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-22026 | Windows CSRSS პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 8.8 | არა | არა | EoP |
| CVE-2022-22049 | Windows CSRSS პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-30214 | Windows DNS სერვერის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 6.6 | არა | არა | RCE |
| CVE-2022-22043 | Windows Fast FAT ფაილური სისტემის დრაივერის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-22050 | Windows ფაქსის სერვისის პრივილეგიის დაუცველობის გაზრდა | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-22024 | Windows ფაქსის სერვისის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-22027 | Windows ფაქსის სერვისის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.8 | არა | არა | RCE |
| CVE-2022-30213 | Windows GDI+ ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 5.5 | არა | არა | ინფორმაცია |
| CVE-2022-22034 | Windows Graphics კომპონენტის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-30205 | Windows ჯგუფის პოლიტიკა პრივილეგიების დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.6 | არა | არა | EoP |
| CVE-2022-22042 | Windows Hyper-V ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 6.5 | არა | არა | ინფორმაცია |
| CVE-2022-30223 | Windows Hyper-V ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 5.7 | არა | არა | ინფორმაცია |
| CVE-2022-30209 | Windows IIS სერვერის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.4 | არა | არა | EoP |
| CVE-2022-22025 | Windows Internet Information Services Cachuri Module Denial of Services vulnerability | Მნიშვნელოვანი | 7.5 | არა | არა | DoS |
| CVE-2022-21845 | Windows Kernel ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 4.7 | არა | არა | ინფორმაცია |
| CVE-2022-30211 | Windows Layer 2 გვირაბის პროტოკოლის (L2TP) დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 7.5 | არა | არა | RCE |
| CVE-2022-30225 | Windows Media Player ქსელის გაზიარების სერვისის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.1 | არა | არა | EoP |
| CVE-2022-22028 | Windows ქსელის ფაილური სისტემის ინფორმაციის გამჟღავნების დაუცველობა | Მნიშვნელოვანი | 5.9 | არა | არა | ინფორმაცია |
| CVE-2022-22023 | Windows Portable Device Enumerator Service უსაფრთხოების ფუნქციის გვერდის ავლით დაუცველობა | Მნიშვნელოვანი | 6.6 | არა | არა | SFB |
| CVE-2022-22022 | Windows Print Spooler-ის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.1 | არა | არა | EoP |
| CVE-2022-22041 | Windows Print Spooler-ის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 6.8 | არა | არა | EoP |
| CVE-2022-30206 | Windows Print Spooler-ის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-30226 | Windows Print Spooler-ის პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.1 | არა | არა | EoP |
| CVE-2022-30208 | Windows უსაფრთხოების ანგარიშის მენეჯერის (SAM) სერვისის დაუცველობის უარყოფა | Მნიშვნელოვანი | 6.5 | არა | არა | DoS |
| CVE-2022-30216 | Windows Server Service-ის შეფერხების დაუცველობა | Მნიშვნელოვანი | 8.8 | არა | არა | თაღლითობა |
| CVE-2022-30222 | Windows Shell-ის დისტანციური კოდის შესრულების დაუცველობა | Მნიშვნელოვანი | 8.4 | არა | არა | RCE |
| CVE-2022-22045 | ფანჯრები. მოწყობილობები. Picker.dll პრივილეგიის დაუცველობის ამაღლება | Მნიშვნელოვანი | 7.8 | არა | არა | EoP |
| CVE-2022-33644 | Xbox Live Save სერვისის ამაღლება პრივილეგიების დაუცველობა | Მნიშვნელოვანი | 7 | არა | არა | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 გროვის ბუფერის გადადინება WebRTC-ში | მაღალი | N/A | არა | დიახ | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Type Confusion V8-ში | მაღალი | N/A | არა | არა | RCE |
უნდა გაითვალისწინოთ, რომ ამ თვის Patch Tuesday განახლებები აფიქსირებს პრივილეგიების მოწყვლადობის აქტიურად ექსპლუატაციის ნულოვანი დღის ამაღლებას.
კომპანიამ დაუცველობა კლასიფიცირდება როგორც ნულოვანი დღე, თუ ის საჯაროდ არის გამჟღავნებული ან აქტიურად არის გამოყენებული, ოფიციალური შესწორების გარეშე.
უფრო გასაგებად რომ ვთქვათ, დღეს დაფიქსირებული ნულოვანი დღის დაუცველობის აქტიურად ექსპლუატაცია მოთავსებულია როგორც CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerability.
მისი ექსპლუატაციით, მავნე მესამე მხარეს შეუძლია რეალურად მოიპოვოს SYSTEM პრივილეგიები, როგორც ამას Microsoft-ის უსაფრთხოების ექსპერტები ურჩიეს ამ ბოლო გამოშვების საშუალებით.
ასევე, არანაკლებ მნიშვნელოვანია, გახსოვდეთ, რომ ამ თვის გამოშვებაში არის სამი გამოსწორება სერვისის უარყოფის (DoS) შეცდომებისთვის, ყველა მათგანი ზეგავლენა.
და, EoP შეცდომების 52 გამოსწორებიდან, 30 მათგანს მიმართავს Azure Site Recovery-ის შეცდომებს, მათგან ერთი სავარაუდოდ აქტიური შეტევის ქვეშაა.
მოუთმენლად ველით, შემდეგი Patch Tuesday უსაფრთხოების განახლების გამოშვება იქნება 9 აგვისტოს, რაც ცოტა უფრო ადრეა, ვიდრე ამას ზოგიერთი ელოდა.
იპოვეთ რაიმე სხვა პრობლემა ამ თვის უსაფრთხოების განახლებების დაყენების შემდეგ? გაგვიზიარეთ თქვენი აზრი ქვემოთ მოცემულ კომენტარებში.
