- 2022. gada jūlijam Microsoft izlaida garu sarakstu ar 84 jauni drošības atjauninājumi.
- No visiem CVE,5 ir kritiski svarīgi, un 80 no tiem ir uzskaitīti kā svarīgi.
- Šajā rakstā esam iekļāvuši ikvienu, kā arī tiešās saites
Ja jūtaties mazliet neērti, tas ir tāpēc, ka mēs jau esam jūlijā un temperatūra sāk lēnām celt mūs birojos.
Tomēr Windows lietotāji skatās uz Microsoft, cerot, ka daži no trūkumiem, ar kuriem viņi cīnījās, beidzot tiks novērsti.
Mēs jau esam nodrošinājuši tiešās lejupielādes saites par kumulatīvajiem atjauninājumiem, kas šodien tika izlaisti operētājsistēmām Windows 10 un 11, taču tagad ir pienācis laiks vēlreiz runāt par kritiskajām ievainojamībām un ekspozīcijām.
Šomēnes Redmondas tehnoloģiju gigants izlaida 84 jaunus ielāpus, kas ir daudz vairāk, nekā daži cilvēki gaidīja tūlīt pēc Lieldienām.
Šie programmatūras atjauninājumi attiecas uz CVE:
- Microsoft Windows un Windows komponenti
- Windows Azure komponenti
- Microsoft Defender galapunktam
- Microsoft Edge (uz Chromium bāzes)
- Birojs un biroja sastāvdaļas
- Windows BitLocker
- Windows Hyper-V
- Skype darbam un Microsoft Lync
- Atvērtā pirmkoda programmatūra
- Xbox
2022. gada jūlijā Microsoft nodrošina 84 defektu labojumus
Diezgan droši var teikt, ka šis nebija ne noslogotākais, ne vieglākais mēnesis Redmondas drošības ekspertiem.
Iespējams, vēlēsities zināt, ka no 84 jaunajiem izdotajiem CVE 4 ir novērtēti kā kritiski, bet pārējie (80) — kā svarīgi.
Mēs runājam par 52 privilēģiju paaugstināšanas ievainojamībām, 4 drošības līdzekļu apiešanas ievainojamībām, 12 attālinātas koda izpildes ievainojamības, 11 informācijas izpaušanas ievainojamības un 5 pakalpojumu atteikumi ievainojamības
| CVE | Nosaukums | Smaguma pakāpe | CVSS | Publisks | Ekspluatēts | Tips |
| CVE-2022-22047 | Windows CSRSS privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7.8 | Nē | Jā | EoP |
| CVE-2022-22038 | Attālās procedūras izsaukuma izpildlaika attālās koda izpildes ievainojamība | Kritisks | 8.1 | Nē | Nē | RCE |
| CVE-2022-30221 | Windows grafikas komponenta attālās koda izpildes ievainojamība | Kritisks | 8.8 | Nē | Nē | RCE |
| CVE-2022-22029 | Windows tīkla failu sistēmas attālās koda izpildes ievainojamība | Kritisks | 8.1 | Nē | Nē | RCE |
| CVE-2022-22039 | Windows tīkla failu sistēmas attālās koda izpildes ievainojamība | Kritisks | 7.5 | Nē | Nē | RCE |
| CVE-2022-30215 | Active Directory Federation Services Privilēģiju ievainojamības palielināšana | Svarīgs | 7.5 | Nē | Nē | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD CPU filiāles tipa neskaidrības | Svarīgs | N/A | Nē | Nē | Informācija |
| CVE-2022-23825 * | AMD: CVE-2022-23825 AMD CPU filiāles tipa neskaidrības | Svarīgs | N/A | Nē | Nē | Informācija |
| CVE-2022-30181 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33641 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33642 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33643 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33650 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33651 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33652 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.4 | Nē | Nē | EoP |
| CVE-2022-33653 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33654 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33655 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33656 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33657 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33658 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.4 | Nē | Nē | EoP |
| CVE-2022-33659 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33660 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33661 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33662 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33663 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33664 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33665 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33666 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33667 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33668 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33669 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33671 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 4.9 | Nē | Nē | EoP |
| CVE-2022-33672 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33673 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 6.5 | Nē | Nē | EoP |
| CVE-2022-33674 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 8.3 | Nē | Nē | EoP |
| CVE-2022-33675 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-33677 | Azure Site Recovery Privilēģiju ievainojamības palielināšana | Svarīgs | 7.2 | Nē | Nē | EoP |
| CVE-2022-33676 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-33678 | Azure vietņu atkopšanas attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-30187 | Azure Storage Library informācijas atklāšanas ievainojamība | Svarīgs | 4.7 | Nē | Nē | Informācija |
| CVE-2022-22048 | BitLocker drošības līdzekļa apiešanas ievainojamība | Svarīgs | 6.1 | Nē | Nē | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Nepietiekami aizsargātas akreditācijas datu ievainojamība var noplūst autentifikācijas vai sīkfailu galvenes datiem | Svarīgs | N/A | Nē | Nē | Informācija |
| CVE-2022-22040 | Interneta informācijas pakalpojumu dinamiskās saspiešanas moduļa pakalpojumu liegšanas ievainojamība | Svarīgs | 7.3 | Nē | Nē | DoS |
| CVE-2022-33637 | Microsoft Defender galapunkta ievainojamībai | Svarīgs | 6.5 | Nē | Nē | Iejaukšanās |
| CVE-2022-33632 | Microsoft Office drošības līdzekļa apiešanas ievainojamība | Svarīgs | 4.7 | Nē | Nē | SFB |
| CVE-2022-22036 | Veiktspējas skaitītāji Windows privilēģiju paaugstināšanas ievainojamībai | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-33633 | Skype darbam un Lync attālās koda izpildes ievainojamība | Svarīgs | 7.2 | Nē | Nē | RCE |
| CVE-2022-22037 | Windows Advanced Local Procedure Call Elevation of Privilēģiju ievainojamība | Svarīgs | 7.5 | Nē | Nē | EoP |
| CVE-2022-30202 | Windows Advanced Local Procedure Call Elevation of Privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-30224 | Windows Advanced Local Procedure Call Elevation of Privilēģiju ievainojamība | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-22711 | Windows BitLocker informācijas atklāšanas ievainojamība | Svarīgs | 6.7 | Nē | Nē | Informācija |
| CVE-2022-30203 | Windows sāknēšanas pārvaldnieka drošības līdzekļa apiešanas ievainojamība | Svarīgs | 7.4 | Nē | Nē | SFB |
| CVE-2022-30220 | Windows kopējā žurnālfailu sistēmas draivera privilēģiju ievainojamības palielināšanās | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-30212 | Windows savienoto ierīču platformas pakalpojuma informācijas atklāšanas ievainojamība | Svarīgs | 4.7 | Nē | Nē | Informācija |
| CVE-2022-22031 | Windows Credential Guard domēnam pievienots publiskās atslēgas privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-22026 | Windows CSRSS privilēģiju paaugstināšanas ievainojamība | Svarīgs | 8.8 | Nē | Nē | EoP |
| CVE-2022-22049 | Windows CSRSS privilēģiju paaugstināšanas ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-30214 | Windows DNS servera attālās koda izpildes ievainojamība | Svarīgs | 6.6 | Nē | Nē | RCE |
| CVE-2022-22043 | Windows Fast FAT failu sistēmas draivera privilēģiju ievainojamības palielināšana | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-22050 | Windows faksa pakalpojuma privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-22024 | Windows faksa pakalpojuma attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-22027 | Windows faksa pakalpojuma attālās koda izpildes ievainojamība | Svarīgs | 7.8 | Nē | Nē | RCE |
| CVE-2022-30213 | Windows GDI+ informācijas atklāšanas ievainojamība | Svarīgs | 5.5 | Nē | Nē | Informācija |
| CVE-2022-22034 | Windows grafikas komponenta privilēģiju ievainojamības palielināšana | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-30205 | Windows grupas politikas privilēģiju paaugstināšanas ievainojamība | Svarīgs | 6.6 | Nē | Nē | EoP |
| CVE-2022-22042 | Windows Hyper-V informācijas atklāšanas ievainojamība | Svarīgs | 6.5 | Nē | Nē | Informācija |
| CVE-2022-30223 | Windows Hyper-V informācijas atklāšanas ievainojamība | Svarīgs | 5.7 | Nē | Nē | Informācija |
| CVE-2022-30209 | Windows IIS servera privilēģiju ievainojamība | Svarīgs | 7.4 | Nē | Nē | EoP |
| CVE-2022-22025 | Windows interneta informācijas pakalpojumu Cachuri moduļa pakalpojuma atteikuma ievainojamība | Svarīgs | 7.5 | Nē | Nē | DoS |
| CVE-2022-21845 | Windows kodola informācijas atklāšanas ievainojamība | Svarīgs | 4.7 | Nē | Nē | Informācija |
| CVE-2022-30211 | Windows Layer 2 Tunneling Protocol (L2TP) attālās koda izpildes ievainojamība | Svarīgs | 7.5 | Nē | Nē | RCE |
| CVE-2022-30225 | Windows Media Player tīkla koplietošanas pakalpojums Privilēģiju ievainojamības palielināšana | Svarīgs | 7.1 | Nē | Nē | EoP |
| CVE-2022-22028 | Windows tīkla failu sistēmas informācijas atklāšanas ievainojamība | Svarīgs | 5.9 | Nē | Nē | Informācija |
| CVE-2022-22023 | Windows portatīvo ierīču skaitītāja pakalpojuma drošības līdzekļa apiešanas ievainojamība | Svarīgs | 6.6 | Nē | Nē | SFB |
| CVE-2022-22022 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 7.1 | Nē | Nē | EoP |
| CVE-2022-22041 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 6.8 | Nē | Nē | EoP |
| CVE-2022-30206 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-30226 | Windows drukas spolētāja privilēģiju ievainojamība | Svarīgs | 7.1 | Nē | Nē | EoP |
| CVE-2022-30208 | Windows drošības konta pārvaldnieka (SAM) pakalpojuma atteikuma ievainojamība | Svarīgs | 6.5 | Nē | Nē | DoS |
| CVE-2022-30216 | Windows Server pakalpojuma ievainojamība | Svarīgs | 8.8 | Nē | Nē | Iejaukšanās |
| CVE-2022-30222 | Windows Shell attālās koda izpildes ievainojamība | Svarīgs | 8.4 | Nē | Nē | RCE |
| CVE-2022-22045 | Windows. Ierīces. Picker.dll privilēģiju ievainojamība | Svarīgs | 7.8 | Nē | Nē | EoP |
| CVE-2022-33644 | Xbox Live Save Service Privilēģiju ievainojamības palielināšana | Svarīgs | 7 | Nē | Nē | EoP |
| CVE-2022-2294* | Chromium: CVE-2022-2294 kaudzes bufera pārpilde pakalpojumā WebRTC | Augsts | N/A | Nē | Jā | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Type Confusion V8 | Augsts | N/A | Nē | Nē | RCE |
Ņemiet vērā, ka šī mēneša ielāpu otrdienas atjauninājumi novērš aktīvi izmantoto nulles dienu privilēģiju paaugstināšanas ievainojamību.
Uzņēmums ievainojamību klasificēja kā nulles dienu, ja tā tiek publiski izpausta vai tiek aktīvi izmantota bez oficiāla labojuma.
Lai būtu skaidrāks, šodien labotā aktīvi izmantotā nulles dienas ievainojamība tiek izsekota kā CVE-2022-22047 — Windows CSRSS privilēģiju paaugstināšanas ievainojamība.
Izmantojot to, ļaunprātīga trešā puse faktiski var iegūt SISTĒMAS privilēģijas, kā Microsoft drošības eksperti ir ieteikuši šajā nesenajā laidienā.
Tikpat svarīgi ir arī atcerēties, ka šī mēneša laidienā ir trīs pakalpojumu atteikuma (DoS) kļūdu labojumi, un tie visi ir ietekmīgi.
Un no 52 EoP kļūdu labojumiem 30 no tiem attiecas uz Azure Site Recovery kļūdām, un vienai no tām, domājams, ir aktīvs uzbrukums.
Raugoties nākotnē, nākamais ielāpu otrdienas drošības atjauninājums tiks izlaists 9. augustā, kas ir nedaudz ātrāk, nekā daži to gaidīja.
Vai pēc šī mēneša drošības atjauninājumu instalēšanas esat atradis kādas citas problēmas? Kopīgojiet savu viedokli komentāru sadaļā zemāk.
