- 2022 m. liepos mėn. „Microsoft“ išleido ilgą 84 sąrašą nauji saugos naujinimai.
- Iš visų CVE,5 yra kritiniai, o 80 iš jų yra išvardyti kaip svarbūs.
- Į šį straipsnį įtraukėme visus ir tiesiogines nuorodas
Jei jaučiatės šiek tiek nepatogiai, tai yra todėl, kad mes jau liepą ir temperatūra pamažu pradeda augti mūsų biuruose.
Tačiau „Windows“ vartotojai žiūri į „Microsoft“ tikėdamiesi, kad kai kurie trūkumai, su kuriais jie kovojo, pagaliau bus pašalinti.
Mes jau pateikėme tiesioginės atsisiuntimo nuorodos dėl šiandien išleistų kaupiamųjų naujinimų, skirtų „Windows 10“ ir „Windows 11“, bet dabar laikas vėl pakalbėti apie kritinius pažeidžiamumus ir ekspozicijas.
Šį mėnesį Redmondo technologijų milžinė išleido 84 naujus pataisymus, tai yra daug daugiau, nei kai kurie žmonės tikėjosi iškart po Velykų.
Šie programinės įrangos naujinimai skirti CVE:
- „Microsoft Windows“ ir „Windows“ komponentai
- „Windows Azure“ komponentai
- „Microsoft Defender“, skirta „Endpoint“.
- „Microsoft Edge“ („Chromium“ pagrindu)
- Biuras ir biuro komponentai
- „Windows BitLocker“.
- Windows Hyper-V
- „Skype“ verslui ir „Microsoft Lync“.
- Atvirojo kodo programinė įranga
- Xbox
2022 m. liepos mėn. „Microsoft“ pateikia 84 trūkumų pataisymus
Galima sakyti, kad tai nebuvo nei pats aktyviausias, nei lengviausias mėnuo Redmondo saugumo ekspertams.
Galbūt norėsite žinoti, kad iš 84 išleistų naujų CVE 4 įvertintos kaip kritinės, o likusios (80) įvertintos kaip svarbios.
Mes kalbame apie 52 privilegijų padidinimo spragas, 4 saugos funkcijų apėjimo pažeidžiamumus, 12 nuotolinio kodo vykdymo pažeidžiamumas, 11 informacijos atskleidimo spragų ir 5 paslaugų atsisakymai pažeidžiamumų
| CVE | Pavadinimas | Sunkumas | CVSS | Viešas | Išnaudota | Tipas |
| CVE-2022-22047 | „Windows CSRSS“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Taip | EoP |
| CVE-2022-22038 | Nuotolinio procedūrų iškvietimo vykdymo nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 8.1 | Nr | Nr | RCE |
| CVE-2022-30221 | „Windows“ grafikos komponento nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 8.8 | Nr | Nr | RCE |
| CVE-2022-22029 | „Windows“ tinklo failų sistemos nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 8.1 | Nr | Nr | RCE |
| CVE-2022-22039 | „Windows“ tinklo failų sistemos nuotolinio kodo vykdymo pažeidžiamumas | Kritinis | 7.5 | Nr | Nr | RCE |
| CVE-2022-30215 | „Active Directory“ federacijos paslaugų privilegijų pažeidžiamumo padidinimas | Svarbu | 7.5 | Nr | Nr | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD procesoriaus šakos tipo painiava | Svarbu | N/A | Nr | Nr | Informacija |
| CVE-2022-23825 * | AMD: CVE-2022-23825 AMD procesoriaus šakos tipo painiava | Svarbu | N/A | Nr | Nr | Informacija |
| CVE-2022-30181 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33641 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33642 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33643 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33650 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33651 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33652 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.4 | Nr | Nr | EoP |
| CVE-2022-33653 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33654 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33655 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33656 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33657 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33658 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.4 | Nr | Nr | EoP |
| CVE-2022-33659 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33660 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33661 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33662 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33663 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33664 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33665 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33666 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33667 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33668 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33669 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33671 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 4.9 | Nr | Nr | EoP |
| CVE-2022-33672 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33673 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 6.5 | Nr | Nr | EoP |
| CVE-2022-33674 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 8.3 | Nr | Nr | EoP |
| CVE-2022-33675 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-33677 | „Azure“ svetainės atkūrimo privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.2 | Nr | Nr | EoP |
| CVE-2022-33676 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-33678 | „Azure“ svetainės atkūrimo nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-30187 | Azure Storage Library informacijos atskleidimo pažeidžiamumas | Svarbu | 4.7 | Nr | Nr | Informacija |
| CVE-2022-22048 | „BitLocker“ saugos funkcijos apėjimo pažeidžiamumas | Svarbu | 6.1 | Nr | Nr | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Dėl nepakankamai apsaugotų kredencialų pažeidžiamumo gali nutekėti autentifikavimo arba slapukų antraštės duomenys | Svarbu | N/A | Nr | Nr | Informacija |
| CVE-2022-22040 | Interneto informacijos paslaugų dinaminio glaudinimo modulio paslaugų atsisakymo pažeidžiamumas | Svarbu | 7.3 | Nr | Nr | DoS |
| CVE-2022-33637 | Microsoft Defender, skirtas galinio taško klastojimo pažeidžiamumui | Svarbu | 6.5 | Nr | Nr | Sugadinimas |
| CVE-2022-33632 | „Microsoft Office“ saugos funkcijos apėjimo pažeidžiamumas | Svarbu | 4.7 | Nr | Nr | SFB |
| CVE-2022-22036 | „Windows“ privilegijų padidinimo pažeidžiamumo našumo skaitikliai | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-33633 | „Skype“ verslui ir „Lync“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.2 | Nr | Nr | RCE |
| CVE-2022-22037 | Windows Advanced Local Procedure Call Elevage of Privilege pažeidžiamumas | Svarbu | 7.5 | Nr | Nr | EoP |
| CVE-2022-30202 | Windows Advanced Local Procedure Call Elevage of Privilege pažeidžiamumas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-30224 | Windows Advanced Local Procedure Call Elevage of Privilege pažeidžiamumas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-22711 | „Windows BitLocker“ informacijos atskleidimo pažeidžiamumas | Svarbu | 6.7 | Nr | Nr | Informacija |
| CVE-2022-30203 | „Windows Boot Manager“ saugos funkcijos apėjimo pažeidžiamumas | Svarbu | 7.4 | Nr | Nr | SFB |
| CVE-2022-30220 | „Windows“ bendrojo žurnalo failų sistemos tvarkyklės privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-30212 | „Windows Connected Devices“ platformos paslaugos informacijos atskleidimo pažeidžiamumas | Svarbu | 4.7 | Nr | Nr | Informacija |
| CVE-2022-22031 | „Windows Credential Guard“ domenas, prijungtas prie viešojo rakto privilegijų pažeidžiamumo padidinimo | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-22026 | „Windows CSRSS“ privilegijų padidinimo pažeidžiamumas | Svarbu | 8.8 | Nr | Nr | EoP |
| CVE-2022-22049 | „Windows CSRSS“ privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-30214 | Windows DNS serverio nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 6.6 | Nr | Nr | RCE |
| CVE-2022-22043 | „Windows Fast FAT“ failų sistemos tvarkyklės privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-22050 | „Windows“ fakso tarnybos privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-22024 | „Windows Fax Service“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-22027 | „Windows Fax Service“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | RCE |
| CVE-2022-30213 | Windows GDI+ informacijos atskleidimo pažeidžiamumas | Svarbu | 5.5 | Nr | Nr | Informacija |
| CVE-2022-22034 | „Windows“ grafikos komponento privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-30205 | „Windows“ grupės strategijos privilegijų pažeidžiamumo padidinimas | Svarbu | 6.6 | Nr | Nr | EoP |
| CVE-2022-22042 | „Windows Hyper-V“ informacijos atskleidimo pažeidžiamumas | Svarbu | 6.5 | Nr | Nr | Informacija |
| CVE-2022-30223 | „Windows Hyper-V“ informacijos atskleidimo pažeidžiamumas | Svarbu | 5.7 | Nr | Nr | Informacija |
| CVE-2022-30209 | Windows IIS serverio privilegijų padidinimo pažeidžiamumas | Svarbu | 7.4 | Nr | Nr | EoP |
| CVE-2022-22025 | „Windows“ interneto informacijos paslaugų „Cachuri“ modulio paslaugų atsisakymo pažeidžiamumas | Svarbu | 7.5 | Nr | Nr | DoS |
| CVE-2022-21845 | „Windows“ branduolio informacijos atskleidimo pažeidžiamumas | Svarbu | 4.7 | Nr | Nr | Informacija |
| CVE-2022-30211 | „Windows Layer 2 Tunneling Protocol“ (L2TP) nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 7.5 | Nr | Nr | RCE |
| CVE-2022-30225 | „Windows Media Player“ tinklo bendrinimo paslauga Privilegijų pažeidžiamumo padidėjimas | Svarbu | 7.1 | Nr | Nr | EoP |
| CVE-2022-22028 | „Windows“ tinklo failų sistemos informacijos atskleidimo pažeidžiamumas | Svarbu | 5.9 | Nr | Nr | Informacija |
| CVE-2022-22023 | „Windows“ nešiojamųjų įrenginių sąrašo tarnybos saugos funkcijos apėjimo pažeidžiamumas | Svarbu | 6.6 | Nr | Nr | SFB |
| CVE-2022-22022 | „Windows“ spausdinimo rinkinio privilegijų padidinimo pažeidžiamumas | Svarbu | 7.1 | Nr | Nr | EoP |
| CVE-2022-22041 | „Windows“ spausdinimo rinkinio privilegijų padidinimo pažeidžiamumas | Svarbu | 6.8 | Nr | Nr | EoP |
| CVE-2022-30206 | „Windows“ spausdinimo rinkinio privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-30226 | „Windows“ spausdinimo rinkinio privilegijų padidinimo pažeidžiamumas | Svarbu | 7.1 | Nr | Nr | EoP |
| CVE-2022-30208 | „Windows“ saugos paskyros tvarkyklės (SAM) paslaugų atsisakymo pažeidžiamumas | Svarbu | 6.5 | Nr | Nr | DoS |
| CVE-2022-30216 | „Windows Server“ paslaugos klastojimo pažeidžiamumas | Svarbu | 8.8 | Nr | Nr | Sugadinimas |
| CVE-2022-30222 | „Windows Shell“ nuotolinio kodo vykdymo pažeidžiamumas | Svarbu | 8.4 | Nr | Nr | RCE |
| CVE-2022-22045 | Windows. Įrenginiai. Picker.dll privilegijų padidinimo pažeidžiamumas | Svarbu | 7.8 | Nr | Nr | EoP |
| CVE-2022-33644 | „Xbox Live Save Service“ privilegijų pažeidžiamumo padidėjimas | Svarbu | 7 | Nr | Nr | EoP |
| CVE-2022-2294 * | Chromas: CVE-2022-2294 krūvos buferio perpildymas WebRTC | Aukštas | N/A | Nr | Taip | RCE |
| CVE-2022-2295 * | Chromas: CVE-2022-2295 tipo painiava V8 versijoje | Aukštas | N/A | Nr | Nr | RCE |
Turėtumėte nepamiršti, kad šio mėnesio pataisų antradienio atnaujinimai ištaiso aktyviai išnaudojamą nulinės dienos privilegijų padidinimo pažeidžiamumą.
Bendrovė pažeidžiamumą priskyrė nulinei dienai, jei jis viešai atskleidžiamas arba aktyviai naudojamas be jokio oficialaus pataisymo.
Kad būtų aiškiau, šiandien ištaisytas aktyviai išnaudojamas nulinės dienos pažeidžiamumas stebimas kaip CVE-2022-22047 – „Windows CSRSS“ privilegijų padidinimo pažeidžiamumas.
Išnaudodama ją, kenkėjiška trečioji šalis iš tikrųjų gali įgyti SISTEMOS privilegijas, kaip patarė „Microsoft“ saugos ekspertai šiame naujausiame leidime.
Be to, taip pat svarbu prisiminti, kad šio mėnesio leidime yra trys paslaugų atsisakymo (DoS) klaidų pataisymai, visi jie turi įtakos.
Ir iš 52 EoP klaidų pataisymų 30 iš jų yra skirtos „Azure Site Recovery“ klaidoms, viena iš jų tariamai aktyviai atakuojama.
Žvelgiant į priekį, kitas pataisų antradienio saugos naujinimas bus išleistas rugpjūčio 9 d., ty šiek tiek anksčiau, nei kai kurie tikėjosi.
Ar įdiegę šio mėnesio saugos naujinimus radote kitų problemų? Pasidalykite savo nuomone toliau pateiktame komentarų skyriuje.
