- Diezgan aizņemts mēnesis Microsoft ielāpu otrdienas izlaidumam ar 74 CVE.
- No visiem CVE,10 ir novērtēti kā kritiski, 66 nozīmīgi un 1 vērtējums ir zems.
- Šajā rakstā esam iekļāvuši visus un arī tiešās saites.
Ir jau maijs, un visi skatās uz Microsoft, cerot, ka daži trūkumi, ar kuriem viņi cīnījās, beidzot tiks novērsti.
Mēs jau esam nodrošinājuši tiešās lejupielādes saites par kumulatīviem atjauninājumiem, kas šodien tika izlaisti operētājsistēmām Windows 10 un 11, taču tagad ir pienācis laiks vēlreiz runāt par kritiskajām ievainojamībām un ekspozīcijām.
Šomēnes Redmondas tehnoloģiju gigants izlaida 74 jaunus ielāpus, kas ir daudz vairāk, nekā daži cilvēki gaidīja tūlīt pēc Lieldienām.
Šie programmatūras atjauninājumi attiecas uz CVE:
- Microsoft Windows un Windows komponenti
- .NET un Visual Studio
- Microsoft Edge (uz Chromium bāzes)
- Microsoft Exchange serveris
- Birojs un biroja sastāvdaļas
- Windows Hyper-V
- Windows autentifikācijas metodes
- BitLocker
- Windows klastera koplietotais sējums (CSV)
- Attālās darbvirsmas klients
- Windows tīkla failu sistēma
- NTFS
- Windows punkta-punkta tunelēšanas protokols
Šajā mēnesī tika identificēti un izskatīti 74 CVE
Nav noslogotākais, bet arī ne vieglākais mēnesis Microsoft drošības ekspertiem. Iespējams, vēlēsities zināt, ka no 74 jaunajiem CVE, kas tika izdoti, 7 ir novērtēti kā kritiski, 66 ir novērtēti kā svarīgi un viens ir novērtēts ar zemu smaguma pakāpi.
| CVE | Nosaukums | Smaguma pakāpe | CVSS | Publisks | Ekspluatēts | Tips |
| CVE-2022-26925 | Windows LSA krāpšanās ievainojamība | Svarīgs | 8.1 | Jā | Jā | Maldināšana |
| CVE-2022-29972 | Insight programmatūra: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC draiveris | Kritisks | N/A | Jā | Nē | RCE |
| CVE-2022-22713 | Windows Hyper-V pakalpojuma atteikuma ievainojamība | Svarīgs | 5.6 | Jā | Nē | DoS |
| CVE-2022-26923 | Active Directory domēna pakalpojumi Privilēģiju ievainojamības palielināšana | Kritisks | 8.8 | Nē | Nē | EoP |
| CVE-2022-21972 | Point-to-Point tunelēšanas protokola attālās koda izpildes ievainojamība | Kritisks | 8.1 | Nē | Nē | RCE |
| CVE-2022-23270 | Point-to-Point tunelēšanas protokola attālās koda izpildes ievainojamība | Kritisks | 8.1 | Nē | Nē | RCE |
| CVE-2022-22017 | Attālās darbvirsmas klienta attālās koda izpildes ievainojamība | Kritisks | 8.8 | Nē | Nē | RCE |
| CVE-2022-26931 | Windows Kerberos privilēģiju paaugstināšanas ievainojamība | Kritisks | 7.5 | Nē | Nē | EoP |
| CVE-2022-26937 | Windows tīkla failu sistēmas attālās koda izpildes ievainojamība | Kritisks | 9.8 | Nē | Nē | RCE |
| CVE-2022-23267 | .NET un Visual Studio pakalpojuma atteikuma ievainojamība | Svarīgs | 7.5 | Nē | Nē | DoS |
| CVE-2022-29117 | .NET un Visual Studio pakalpojuma atteikuma ievainojamība | Svarīgs | 7.5 | Nē | Nē | DoS |
| CVE-2022-29145 | .NET un Visual Studio pakalpojuma atteikuma ievainojamība | Svarīgs | 7.5 | Nē | Nē | DoS |
| CVE-2022-29127 | BitLocker drošības līdzekļa apiešanas ievainojamība | Svarīgs | 4.2 | Nē | Nē | SFB |
| CVE-2022-29109 | Microsoft Excel attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-29110 | Microsoft Excel attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-21978 | Microsoft Exchange Server privilēģiju ievainojamība | Svarīgs | 8.2 | Nē | Nē | EoP |
| CVE-2022-29107 | Microsoft Office drošības līdzekļa apiešanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | SFB |
| CVE-2022-29108 | Microsoft SharePoint Server attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29105 | Microsoft Windows Media Foundation attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-26940 | Attālās darbvirsmas protokola klienta informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-22019 | Attālās procedūras izsaukuma izpildlaika attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-26932 | Glabāšanas telpas Tieša privilēģiju ievainojamības palielināšanās | Svarīgs | 8.2 | Nē | Nē | EoP |
| CVE-2022-26938 | Glabāšanas telpas Tieša privilēģiju ievainojamības palielināšanās | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-26939 | Glabāšanas telpas Tieša privilēģiju ievainojamības palielināšanās | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29126 | Planšetdatora Windows lietotāja interfeisa lietojumprogrammas galvenais privilēģiju ievainojamības palielinājums | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-30129 | Visual Studio koda attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29148 | Visual Studio attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-26926 | Windows adrešu grāmatas attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-23279 | Windows ALPC privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-26913 | Windows autentifikācijas drošības līdzekļa apiešanas ievainojamība | Svarīgs | 7.4 | Nē | Nē | SFB |
| CVE-2022-29135 | Windows klastera koplietojamā sējuma (CSV) privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29150 | Windows klastera koplietojamā sējuma (CSV) privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29151 | Windows klastera koplietojamā sējuma (CSV) privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29138 | Windows klasterizēta koplietojamā sējuma privilēģiju ievainojamības palielināšanās | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29120 | Windows klasterizēta koplietota apjoma informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-29122 | Windows klasterizēta koplietota apjoma informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-29123 | Windows klasterizēta koplietota apjoma informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-29134 | Windows klasterizēta koplietota apjoma informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-29113 | Windows digitālās multivides uztvērēja privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-29102 | Windows kļūmjpārlēces klastera informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-29115 | Windows faksa pakalpojuma attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-22011 | Windows grafikas komponentu informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-26934 | Windows grafikas komponentu informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-29112 | Windows grafikas komponentu informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-26927 | Windows grafikas komponenta attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-24466 | Windows Hyper-V drošības līdzekļa apiešanas ievainojamība | Svarīgs | 4.1 | Nē | Nē | SFB |
| CVE-2022-29106 | Windows Hyper-V koplietojamā virtuālā diska privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29133 | Windows kodola privilēģiju paaugstināšanas ievainojamība | Svarīgs | 8.8 | Nē | Nē | EoP |
| CVE-2022-29142 | Windows kodola privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29116 | Windows kodola informācijas atklāšanas ievainojamība | Svarīgs | 4.7 | Nē | Nē | Informācija |
| CVE-2022-22012 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 9.8 | Nē | Nē | RCE |
| CVE-2022-22013 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-22014 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29128 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29129 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29130 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 9.8 | Nē | Nē | RCE |
| CVE-2022-29131 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29137 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29139 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-29141 | Windows LDAP attālās koda izpildes ievainojamība | Svarīgs | 8.8 | Nē | Nē | RCE |
| CVE-2022-26933 | Windows NTFS informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-22016 | Windows PlayToManager privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29104 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-29132 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-29114 | Windows drukas spolētāja informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-29140 | Windows drukas spolētāja informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-29125 | Windows Push Notifications Apps Privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-29103 | Windows attālās piekļuves savienojumu pārvaldnieks Privilēģiju ievainojamības palielināšana | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-26930 | Windows attālās piekļuves savienojumu pārvaldnieka informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-22015 | Windows attālās darbvirsmas protokola (RDP) informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-26936 | Windows Server pakalpojuma informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-29121 | Windows WLAN automātiskās konfigurācijas pakalpojuma pakalpojuma liegšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | DoS |
| CVE-2022-26935 | Windows WLAN automātiskās konfigurācijas pakalpojuma informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-30130 | .NET Framework pakalpojuma liegšanas ievainojamība | Zems | 3.3 | Nē | Nē | DoS |
No visiem kritiski novērtētajiem ielāpiem ir divi, kas ietekmē Windows Point-to-Point tunelēšanas protokola (PPTP) ieviešanu, kas varētu atļaut RCE.
Tehnoloģiju gigants paziņoja, ka uzbrucējam būs jāuzvar sacensību nosacījums, lai veiksmīgi izmantotu šīs kļūdas, taču ne visi sacensību nosacījumi ir identiski.
Programmā Microsoft Kerberos ir arī kritiski novērtēta privilēģiju paaugstināšanas (EoP) kļūda, taču pašlaik netiek sniegta papildu informācija.
Nākamā ielāpu otrdienas izlaišana notiks 10. maijā, tāpēc nejūtieties pārāk apmierināti ar pašreizējo situāciju, jo tas var mainīties ātrāk, nekā jūs domājat.
Vai šis raksts jums bija noderīgs? Kopīgojiet savu viedokli komentāru sadaļā zemāk.
