- Gana įtemptas mėnuo, skirtas „Microsoft Patch“ antradienio leidimui su 71 CVE.
- Iš visų CVE 68 buvo pažymėti kaip svarbūs ir nė vienas kaip vidutinio sunkumo.
- Tačiau Redmondo technologijų milžinui teko susidurti su trimis bjauriomis kritinėmis klaidomis.
- Į šį straipsnį įtraukėme visus ir tiesiogines nuorodas.
Vėl toks mėnesio laikas, ir visi žiūri į „Microsoft“ tikėdamiesi, kad kai kurie trūkumai, su kuriais jie kovojo, pagaliau bus ištaisyti.
Mes jau pateikėme tiesioginės atsisiuntimo nuorodos dėl šiandien išleistų kaupiamųjų naujinimų, skirtų „Windows 10“ ir „Windows 11“, bet dabar laikas vėl pakalbėti apie kritinius pažeidžiamumus ir ekspozicijas.
Kalbant apie apimtį, šio mėnesio išleidimas sutampa su ankstesnių metų Mercch leidimais, kurie paprastai yra apie 60–70 CVE.
Pasinerkime tiesiai į tai ir pažiūrėkime, kokių pažeidžiamumų mūsų gyvenime visiškai nebėra, kai šie pataisymai veikia.
Šį mėnesį buvo pašalintos trys kritinės klaidos
Trečiąjį 2022 m. mėnesį „Microsoft“ išleido 71 naują pataisą. Tai pridedama prie 21 CVE, kurį anksčiau šį mėnesį pataisė „Microsoft Edge“ (pagrįsta „Chromium“), todėl kovo mėnesį bendras CVE yra 92.
Taigi, 71 naujas pleistras, kuris tapo prieinamas šiandien, skirtas CVE:
- .NET ir Visual Studio
- Azure svetainės atkūrimas
- „Microsoft Defender“, skirta „Endpoint“.
- „Microsoft Defender“, skirta IoT
- „Microsoft Edge“ („Chromium“ pagrindu)
- Microsoft Exchange serveris
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Microsoft Windows kodekų biblioteka
- Dažyti 3D
- Vaidmuo: „Windows Hyper-V“.
- Skype plėtinys, skirtas Chrome
- Planšetinio kompiuterio „Windows“ vartotojo sąsaja
- Visual Studio kodas
- „Windows“ papildomos funkcijos tvarkyklė, skirta „WinSock“.
- Windows CD-ROM tvarkyklė
- „Windows Cloud Files“ mini filtro tvarkyklė
- Windows COM
- „Windows Common Log File System“ tvarkyklė
- „Windows DWM Core Library“.
- „Windows“ įvykių sekimas
- Windows Fastfat tvarkyklė
- „Windows“ fakso ir nuskaitymo paslauga
- Windows HTML platforma
- „Windows Installer“.
- „Windows“ branduolys
- „Windows Media“.
- Windows PDEV
- „Windows Point-to-Point“ tuneliavimo protokolas
- „Windows“ spausdinimo rinkinio komponentai
- „Windows“ nuotolinis darbalaukis
- „Windows“ saugos palaikymo paslaugų teikėjo sąsaja
- Windows SMB serveris
- „Windows Update Stack“.
- Xbox
Taip pat svarbu paminėti, kad iš šiandien išleisto 71 CVE trys yra įvertinti kaip kritiniai, o 68 – svarbūs pagal sunkumą.
Pasak ekspertų ir kai kurių išmanesnių vartotojų, kritiškai įvertintų pataisų skaičius ir vėl yra keistai mažas, atsižvelgiant į tokį klaidų skaičių.
Be to, vis dar neaišku, ar šis mažas klaidų procentas yra tik sutapimas, ar „Microsoft“ gali įvertinti jų sunkumą naudodama kitokią skaičiavimą nei anksčiau.
| CVE | Pavadinimas | Sunkumas | CVSS | Viešas | Išnaudota | Tipas |
| CVE-2022-24512 | .NET ir Visual Studio nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 6.3 | Taip | Nr | RCE |
| CVE-2022-21990 | Nuotolinio darbalaukio kliento nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 8.8 | Taip | Nr | RCE |
| CVE-2022-24459 | „Windows“ fakso ir nuskaitymo paslaugos privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Taip | Nr | EoP |
| CVE-2022-22006 | HEVC vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 7.8 | Nr | Nr | RCE |
| CVE-2022-23277 | „Microsoft Exchange Server“ nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 8.8 | Nr | Nr | RCE |
| CVE-2022-24501 | VP9 vaizdo įrašų plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 7.8 | Nr | Nr | RCE |
| CVE-2022-24508 | „Windows SMBv3“ kliento / serverio nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 8.8 | Nr | Nr | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager, skirtas Windows privilegijų padidinimo pažeidžiamumui | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-24464 | .NET ir „Visual Studio“ paslaugų atsisakymo pažeidžiamumas | Svarbu | 7.5 | Nr | Nr | DoS |
| CVE-2022-24469 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 8.1 | Nr | Nr | EoP |
| CVE-2022-24506 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-24515 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-24518 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-24519 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-24467 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-24468 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-24470 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-24471 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-24517 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-24520 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2020-8927 * | Brotli bibliotekos buferio perpildymo pažeidžiamumas | Svarbu | 6.5 | Nr | Nr | N/A |
| CVE-2022-24457 | HEIF vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-22007 | HEVC vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-23301 | HEVC vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-24452 | HEVC vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-24453 | HEVC vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-24456 | HEVC vaizdo plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-21977 | Žiniasklaidos fondo informacijos atskleidimo pažeidžiamumas | Svarbu | 3.3 | Nr | Nr | Informacija |
| CVE-2022-22010 | Žiniasklaidos fondo informacijos atskleidimo pažeidžiamumas | Svarbu | 4.4 | Nr | Nr | Informacija |
| CVE-2022-23278 | „Microsoft Defender“, skirta galinio taško klaidinimo pažeidžiamumui | Svarbu | 5.9 | Nr | Nr | Apgaulė |
| CVE-2022-23266 | Microsoft Defender, skirtas IoT privilegijų pažeidžiamumui padidinti | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-23265 | „Microsoft Defender“, skirta IoT nuotolinio kodo vykdymo pažeidžiamumui | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-24463 | „Microsoft Exchange Server“ klastojimo pažeidžiamumas | Svarbu | 6.5 | Nr | Nr | Apgaulė |
| CVE-2022-24465 | „Microsoft Intune“ portalas, skirtas „iOS“ saugos funkcijos apėjimo pažeidžiamumui | Svarbu | 3.3 | Nr | Nr | SFB |
| CVE-2022-24461 | „Microsoft Office Visio“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-24509 | „Microsoft Office Visio“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-24510 | „Microsoft Office Visio“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-24511 | „Microsoft Office Word“ klastojimo pažeidžiamumas | Svarbu | 5.5 | Nr | Nr | Sugadinimas |
| CVE-2022-24462 | „Microsoft Word“ saugos funkcijos apėjimo pažeidžiamumas | Svarbu | 5.5 | Nr | Nr | SFB |
| CVE-2022-23282 | Paint 3D nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-23253 | Taškas į tašką tuneliavimo protokolo atsisakymo teikti paslaugas pažeidžiamumas | Svarbu | 6.5 | Nr | Nr | DoS |
| CVE-2022-23295 | Neapdoroto vaizdo plėtinio nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-23300 | Neapdoroto vaizdo plėtinio nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-23285 | Nuotolinio darbalaukio kliento nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 8.8 | Nr | Nr | RCE |
| CVE-2022-24503 | Nuotolinio darbalaukio protokolo kliento informacijos atskleidimo pažeidžiamumas | Svarbu | 5.4 | Nr | Nr | Informacija |
| CVE-2022-24522 | „Chrome“ informacijos atskleidimo pažeidžiamumas „Skype“ plėtinys | Svarbu | 7.5 | Nr | Nr | Informacija |
| CVE-2022-24460 | Planšetinio kompiuterio „Windows“ vartotojo sąsajos programos privilegijų pažeidžiamumo padidinimas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-24526 | „Visual Studio“ kodo klastojimo pažeidžiamumas | Svarbu | 6.1 | Nr | Nr | Apgaulė |
| CVE-2022-24451 | VP9 vaizdo įrašų plėtinių nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-23283 | „Windows ALPC“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-23287 | „Windows ALPC“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-24505 | „Windows ALPC“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-24507 | „Windows“ papildomos funkcijos tvarkyklė, skirta „WinSock Elevation of Privilege“ pažeidžiamumui | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-24455 | „Windows“ kompaktinio disko tvarkyklės privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-23286 | „Windows“ debesies failų mini filtro tvarkyklės privilegijų pažeidžiamumo padidėjimas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-23281 | „Windows“ bendrojo žurnalo failų sistemos tvarkyklės informacijos atskleidimo pažeidžiamumas | Svarbu | 5.5 | Nr | Nr | Informacija |
| CVE-2022-23288 | Windows DWM pagrindinės bibliotekos privilegijų pažeidžiamumo padidėjimas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-23291 | Windows DWM pagrindinės bibliotekos privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-23294 | „Windows“ įvykių sekimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 8.8 | Nr | Nr | RCE |
| CVE-2022-23293 | „Windows Fast FAT“ failų sistemos tvarkyklės privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-24502 | Windows HTML platformų saugos funkcijos apėjimo pažeidžiamumas | Svarbu | 4.3 | Nr | Nr | SFB |
| CVE-2022-21975 | „Windows Hyper-V“ paslaugų atsisakymo pažeidžiamumas | Svarbu | 4.7 | Nr | Nr | DoS |
| CVE-2022-23290 | „Windows Inking COM Elevation of Privilege“ pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-23296 | „Windows Installer“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-21973 | „Windows Media Center“ naujinimo paslaugų atsisakymo pažeidžiamumas | Svarbu | 5.5 | Nr | Nr | DoS |
| CVE-2022-23297 | Windows NT Lan Manager Datagram imtuvo tvarkyklės informacijos atskleidimo pažeidžiamumas | Svarbu | 5.5 | Nr | Nr | Informacija |
| CVE-2022-23298 | Windows NT OS branduolio privilegijų pažeidžiamumo padidėjimas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-23299 | „Windows PDEV“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-23284 | „Windows“ spausdinimo rinkinio privilegijų padidinimo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | EoP |
| CVE-2022-24454 | „Windows“ saugos palaikymo paslaugų teikėjo sąsajos privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-24525 | „Windows“ naujinimo paketo privilegijų padidinimo pažeidžiamumas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-0789 | Chromas: krūvos buferio perpildymas kampu | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0797 | Chromium: prieiga prie atminties ribų Mojo | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0792 | Chromas: skaitoma ANGLE už ribų | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0795 | Chromium: Tipas Confusion in Blink Layout | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0790 | „Chromium“: naudokite nemokamai „Cast“ vartotojo sąsajoje | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0796 | „Chromium“: naudokite po nemokamai „Media“. | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0791 | „Chromium“: naudokite nemokamai „Omnibox“. | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0793 | „Chromium“: naudokite nemokamai naudodami „Views“. | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0794 | „Chromium“: naudokite nemokamai „WebShare“. | Aukštas | N/A | Nr | Nr | RCE |
| CVE-2022-0800 | „Chromium“: krūvos buferio perpildymas „Cast“ vartotojo sąsajoje | Vidutinis | N/A | Nr | Nr | RCE |
| CVE-2022-0807 | „Chromium“: netinkamas automatinio pildymo įdiegimas | Vidutinis | N/A | Nr | Nr | Informacija |
| CVE-2022-0802 | „Chromium“: netinkamas diegimas viso ekrano režimu | Vidutinis | N/A | Nr | Nr | Informacija |
| CVE-2022-0804 | „Chromium“: netinkamas diegimas viso ekrano režimu | Vidutinis | N/A | Nr | Nr | Informacija |
| CVE-2022-0801 | „Chromium“: netinkamas diegimas HTML analizatoriuje | Vidutinis | N/A | Nr | Nr | Sugadinimas |
| CVE-2022-0803 | „Chromium“: netinkamas diegimas leidimuose | Vidutinis | N/A | Nr | Nr | SFB |
| CVE-2022-0799 | „Chromium“: Nepakankamas politikos vykdymas diegimo programoje | Vidutinis | N/A | Nr | Nr | SFB |
| CVE-2022-0809 | Chromium: neribota prieiga prie atminties WebXR | Vidutinis | N/A | Nr | Nr | RCE |
| CVE-2022-0805 | „Chromium“: nemokamai naudokite naršyklėje „Browser Switcher“. | Vidutinis | N/A | Nr | Nr | RCE |
| CVE-2022-0808 | „Chromium“: naudokite nemokamai „Chrome“ OS „Shell“. | Vidutinis | N/A | Nr | Nr | RCE |
| CVE-2022-0798 | „Chromium“: naudokite nemokamai „MediaStream“. | Vidutinis | N/A | Nr | Nr | RCE |
Atminkite, kad nė viena iš klaidų šį mėnesį nėra įtraukta į aktyvų išnaudojimą, o trys yra išvardytos kaip viešai žinomos išleidimo metu.
Tai yra visi CVE, sprendžiami šio mėnesio pataisų antradienio leidime. Apskritai, tai buvo gana sunkus, bet saugus mėnuo, palyginti su ankstesnėmis situacijomis.
Kitas pataisų antradienio programinės įrangos paketas bus pristatytas balandžio 12 d., ir mums visiems smalsu, ką iki tol sugalvos „Microsoft“.
Tikėkimės, kad mums nereikės spręsti kritinių problemų, o tai nuo šiol bus tik sklandi.
Ar šis straipsnis buvo jums naudingas? Pasidalykite savo nuomone toliau pateiktame komentarų skyriuje.
