- Diezgan aizņemts mēnesis Microsoft ielāpu otrdienas izlaidumam ar 71 CVE.
- No visiem CVE 68 tika atzīmēti kā svarīgi, un neviens netika atzīmēts kā mērens.
- Tomēr Redmondas tehnoloģiju gigantam bija jācīnās ar trim šķebinošām Critical kļūdām.
- Šajā rakstā esam iekļāvuši visus un arī tiešās saites.
Atkal ir pienācis tas mēneša laiks, un visi skatās uz Microsoft, cerot, ka daži trūkumi, ar kuriem viņi ir cīnījušies, beidzot tiks novērsti.
Mēs jau esam nodrošinājuši tiešās lejupielādes saites par kumulatīviem atjauninājumiem, kas šodien tika izlaisti operētājsistēmām Windows 10 un 11, taču tagad ir pienācis laiks vēlreiz runāt par kritiskajām ievainojamībām un ekspozīcijām.
Runājot par lielumu, šī mēneša izlaidums sakrīt ar iepriekšējo gadu preču laidieniem, kas parasti ir aptuveni 60–70 CVE.
Iedziļināsimies tajā un redzēsim, kādas ievainojamības ir pilnībā pazudušas mūsu dzīvē, tagad, kad šie ielāpi ir pieejami.
Šomēnes tika novērstas trīs kritiskas kļūdas
2022. gada trešajā mēnesī Microsoft izlaida 71 jaunu ielāpu. Tas ir papildus 21 CVE, ko Microsoft Edge (uz Chromium bāzes) ir izlabojis šī mēneša sākumā, tādējādi martā kopējais CVE skaits ir 92.
Tātad 71 jaunais ielāps, kas kļuva pieejams šodien, attiecas uz CVE:
- .NET un Visual Studio
- Azure vietnes atkopšana
- Microsoft Defender galapunktam
- Microsoft Defender IoT
- Microsoft Edge (uz Chromium bāzes)
- Microsoft Exchange serveris
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Microsoft Windows kodeku bibliotēka
- Krāsot 3D
- Loma: Windows Hyper-V
- Skype paplašinājums pārlūkam Chrome
- Planšetdatora Windows lietotāja interfeiss
- Visual Studio kods
- Windows palīgfunkciju draiveris priekš WinSock
- Windows CD-ROM draiveris
- Windows Cloud Files mini filtra draiveris
- Windows COM
- Windows kopējā žurnālfailu sistēmas draiveris
- Windows DWM pamata bibliotēka
- Windows notikumu izsekošana
- Windows Fastfat draiveris
- Windows faksa un skenēšanas pakalpojums
- Windows HTML platforma
- Windows Installer
- Windows kodols
- Windows Media
- Windows PDEV
- Windows punkta-punkta tunelēšanas protokols
- Windows drukas spolētāja komponenti
- Windows attālā darbvirsma
- Windows drošības atbalsta sniedzēja saskarne
- Windows SMB serveris
- Windows atjaunināšanas kaudze
- Xbox
Svarīgi ir arī pieminēt, ka no šodien publicētā 71 CVE trīs pēc smaguma pakāpes ir novērtēti kā kritiski un 68 ir novērtēti kā svarīgi.
Kritiski novērtēto ielāpu skaits atkal ir dīvaini zems šim kļūdu skaitam, uzskata eksperti un daži tehnoloģiju lietpratīgāki lietotāji.
Turklāt joprojām nav skaidrs, vai šis zemais kļūdu procentuālais daudzums ir tikai nejaušība, vai arī Microsoft varētu novērtēt nopietnību, izmantojot atšķirīgus aprēķinus nekā iepriekš.
| CVE | Nosaukums | Smaguma pakāpe | CVSS | Publisks | Ekspluatēts | Tips |
| CVE-2022-24512 | .NET un Visual Studio attālās koda izpildes ievainojamība | Svarīgs | 6.3 | Jā | Nē | RCE |
| CVE-2022-21990 | Attālās darbvirsmas klienta attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Jā | Nē | RCE |
| CVE-2022-24459 | Windows faksa un skenēšanas pakalpojuma privilēģiju ievainojamība | Svarīgs | 7.8 | Jā | Nē | EoP |
| CVE-2022-22006 | HEVC video paplašinājumu attālās koda izpildes ievainojamība | Kritisks | 7.8 | Nē | Nē | RCE |
| CVE-2022-23277 | Microsoft Exchange Server attālās koda izpildes ievainojamība | Kritisks | 8.8 | Nē | Nē | RCE |
| CVE-2022-24501 | VP9 video paplašinājumu attālās koda izpildes ievainojamība | Kritisks | 7.8 | Nē | Nē | RCE |
| CVE-2022-24508 | Windows SMBv3 klienta/servera attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager Windows privilēģiju paaugstināšanas ievainojamībai | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-24464 | .NET un Visual Studio pakalpojuma atteikuma ievainojamība | Svarīgs | 7.5 | Nē | Nē | DoS |
| CVE-2022-24469 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 8.1 | Nē | Nē | EoP |
| CVE-2022-24506 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-24515 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-24518 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-24519 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-24467 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-24468 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-24470 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-24471 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-24517 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-24520 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2020-8927* | Brotli bibliotēkas bufera pārpildes ievainojamība | Svarīgs | 6.5 | Nē | Nē | N/A |
| CVE-2022-24457 | HEIF attēlu paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-22007 | HEVC video paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-23301 | HEVC video paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-24452 | HEVC video paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-24453 | HEVC video paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-24456 | HEVC video paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-21977 | Mediju fonda informācijas atklāšanas ievainojamība | Svarīgs | 3.3 | Nē | Nē | Informācija |
| CVE-2022-22010 | Mediju fonda informācijas atklāšanas ievainojamība | Svarīgs | 4.4 | Nē | Nē | Informācija |
| CVE-2022-23278 | Microsoft Defender galapunkta viltošanas ievainojamībai | Svarīgs | 5.9 | Nē | Nē | Maldināšana |
| CVE-2022-23266 | Microsoft Defender IoT privilēģiju ievainojamības palielināšanai | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-23265 | Microsoft Defender IoT attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-24463 | Microsoft Exchange servera viltošanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Maldināšana |
| CVE-2022-24465 | Microsoft Intune portāls iOS drošības līdzekļa apiešanas ievainojamībai | Svarīgs | 3.3 | Nē | Nē | SFB |
| CVE-2022-24461 | Microsoft Office Visio attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-24509 | Microsoft Office Visio attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-24510 | Microsoft Office Visio attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-24511 | Microsoft Office Word ievainojamība | Svarīgs | 5.5 | Nē | Nē | Iejaukšanās |
| CVE-2022-24462 | Microsoft Word drošības līdzekļa apiešanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | SFB |
| CVE-2022-23282 | Paint 3D attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-23253 | Punkts-punkts tunelēšanas protokola pakalpojumu liegšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | DoS |
| CVE-2022-23295 | Neapstrādāta attēla paplašinājuma attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-23300 | Neapstrādāta attēla paplašinājuma attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-23285 | Attālās darbvirsmas klienta attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-24503 | Attālās darbvirsmas protokola klienta informācijas atklāšanas ievainojamība | Svarīgs | 5.4 | Nē | Nē | Informācija |
| CVE-2022-24522 | Skype paplašinājuma Chrome informācijas atklāšanas ievainojamība | Svarīgs | 7.5 | Nē | Nē | Informācija |
| CVE-2022-24460 | Planšetdatora Windows lietotāja interfeisa lietojumprogramma Privilēģiju ievainojamības palielināšana | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-24526 | Visual Studio koda viltošanas ievainojamība | Svarīgs | 6.1 | Nē | Nē | Maldināšana |
| CVE-2022-24451 | VP9 video paplašinājumu attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-23283 | Windows ALPC privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-23287 | Windows ALPC privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-24505 | Windows ALPC privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-24507 | Windows palīgfunkciju draiveris WinSock privilēģiju ievainojamības palielināšanai | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-24455 | Windows CD-ROM draivera privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-23286 | Windows mākoņa failu mini filtra draivera privilēģiju ievainojamības palielināšana | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-23281 | Windows kopējā žurnālfailu sistēmas draivera informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-23288 | Windows DWM galvenās bibliotēkas privilēģiju ievainojamības palielināšanās | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-23291 | Windows DWM galvenās bibliotēkas privilēģiju ievainojamības palielināšanās | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-23294 | Windows notikumu izsekošanas attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-23293 | Windows Fast FAT failu sistēmas draivera privilēģiju ievainojamības palielināšana | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-24502 | Windows HTML platformu drošības līdzekļa apiešanas ievainojamība | Svarīgs | 4.3 | Nē | Nē | SFB |
| CVE-2022-21975 | Windows Hyper-V pakalpojuma atteikuma ievainojamība | Svarīgs | 4.7 | Nē | Nē | DoS |
| CVE-2022-23290 | Windows Inking COM privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-23296 | Windows Installer privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-21973 | Windows Media Center atjauninājuma pakalpojuma atteikuma ievainojamība | Svarīgs | 5.5 | Nē | Nē | DoS |
| CVE-2022-23297 | Windows NT Lan Manager Datagram uztvērēja draivera informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-23298 | Windows NT OS kodola privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-23299 | Windows PDEV privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-23284 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 7.2 | Nē | Nē | EoP |
| CVE-2022-24454 | Windows drošības atbalsta sniedzēja saskarnes privilēģiju ievainojamības palielināšana | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-24525 | Windows atjaunināšanas steka privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-0789 | Hroms: kaudzes bufera pārplūde ANGLE | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0797 | Chromium: neierobežota piekļuve atmiņai pakalpojumā Mojo | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0792 | Chromium: ārpus robežām nolasāma ANGLE | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0795 | Chromium: ierakstiet neskaidrības mirkšķināšanas izkārtojumā | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0790 | Chromium: izmantojiet pēc tam bez maksas Cast UI | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0796 | Chromium: izmantojiet pēc brīvas programmas Media | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0791 | Chromium: izmantojiet universālajā lodziņā bez maksas | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0793 | Chromium: izmantojiet pēc tam bez maksas pakalpojumā Views | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0794 | Chromium: izmantojiet pēc tam bez maksas pakalpojumā WebShare | Augsts | N/A | Nē | Nē | RCE |
| CVE-2022-0800 | Chromium: kaudzes bufera pārpilde Cast UI | Vidēja | N/A | Nē | Nē | RCE |
| CVE-2022-0807 | Chromium: neatbilstoša ieviešana automātiskajā aizpildē | Vidēja | N/A | Nē | Nē | Informācija |
| CVE-2022-0802 | Chromium: neatbilstoša ieviešana pilnekrāna režīmā | Vidēja | N/A | Nē | Nē | Informācija |
| CVE-2022-0804 | Chromium: neatbilstoša ieviešana pilnekrāna režīmā | Vidēja | N/A | Nē | Nē | Informācija |
| CVE-2022-0801 | Chromium: neatbilstoša ieviešana HTML parsētājā | Vidēja | N/A | Nē | Nē | Iejaukšanās |
| CVE-2022-0803 | Chromium: neatbilstoša ieviešana atļaujās | Vidēja | N/A | Nē | Nē | SFB |
| CVE-2022-0799 | Chromium: nepietiekama politikas ieviešana instalēšanas programmā | Vidēja | N/A | Nē | Nē | SFB |
| CVE-2022-0809 | Chromium: neierobežota piekļuve atmiņai WebXR | Vidēja | N/A | Nē | Nē | RCE |
| CVE-2022-0805 | Chromium: izmantojiet pēc tam bez maksas pārlūkprogrammā Browser Switcher | Vidēja | N/A | Nē | Nē | RCE |
| CVE-2022-0808 | Chromium: izmantojiet pēc tam bez maksas pārlūkprogrammā Chrome OS Shell | Vidēja | N/A | Nē | Nē | RCE |
| CVE-2022-0798 | Chromium: izmantojiet pēc tam bez maksas pakalpojumā MediaStream | Vidēja | N/A | Nē | Nē | RCE |
Ņemiet vērā, ka neviena no kļūdām šomēnes nav norādīta kā aktīvi izmantota, savukārt trīs ir norādītas kā publiski zināmas izlaišanas brīdī.
Tie ir visi CVE, kas tika risināti šī mēneša ielāpu otrdienas izlaidumā. Kopumā šis bija diezgan smags, bet drošs mēnesis, salīdzinot ar iepriekšējām situācijām.
Nākamā ielāpu otrdienas programmatūras sērija tiks piegādāta 12. aprīlī, un mēs visi vēlamies redzēt, ko Microsoft līdz tam nāks klajā.
Cerēsim, ka mums nebūs jāsaskaras ar kritiskām problēmām, un tā turpmāk būs tikai raiti.
Vai šis raksts jums bija noderīgs? Kopīgojiet savu viedokli komentāru sadaļā zemāk.
