Microsoft naprawia w tym miesiącu 71 CVE, z których trzy zostały ocenione jako krytyczne

Znowu nadeszła ta pora miesiąca i wszyscy patrzą w stronę Microsoftu w nadziei, że niektóre z wad, z którymi się zmagali, w końcu zostaną naprawione.

Udostępniliśmy już bezpośrednie linki do pobierania za skumulowane aktualizacje wydane dzisiaj dla Windows 10 i 11, ale teraz nadszedł czas, aby ponownie porozmawiać o krytycznych lukach i narażeniach.

Pod względem wagi wydanie w tym miesiącu zbiega się z wydaniami Merch z poprzednich lat, które zwykle wynoszą około 60-70 CVE.

Zanurzmy się w to i zobaczmy, jakie luki całkowicie zniknęły z naszego życia, teraz, gdy te poprawki są aktywne.

Trzy krytyczne błędy rozwiązane w tym miesiącu

W trzecim miesiącu 2022 roku Microsoft wydał 71 nowych poprawek. Jest to dodatek do 21 CVE, które zostały załatane przez Microsoft Edge (oparte na Chromium) na początku tego miesiąca, co daje w sumie 92 CVE w marcu.

Tak więc 71 nowych łat, które stały się dostępne dzisiaj, dotyczy CVE w:

• .NET i Visual Studio
• Azure Site Recovery
• Microsoft Defender dla punktów końcowych
• Microsoft Defender dla IoT
• Microsoft Edge (na bazie chromu)
• Serwer Microsoft Exchange
• Microsoft Intune
• Microsoft Office Visio
• Microsoft Office Word
• Microsoft Windows ALPC
• Biblioteka kodeków Microsoft Windows
• Maluj 3D
• Rola: Windows Hyper-V
• Rozszerzenie Skype dla Chrome
• Interfejs użytkownika tabletu Windows
• Kod programu Visual Studio
• Sterownik funkcji pomocniczych systemu Windows dla WinSock
• Sterownik dysku CD-ROM systemu Windows
• Sterownik minifiltra plików w chmurze systemu Windows
• Windows COM
• Sterownik wspólnego systemu plików dziennika systemu Windows
• Podstawowa biblioteka Windows DWM
• Śledzenie zdarzeń systemu Windows
• Sterownik Windows Fastfat
• Usługa faksowania i skanowania w systemie Windows
• Platforma HTML systemu Windows
• instalator Windows
• Jądro systemu Windows
• Windows Media
• Okna PDEV
• Protokół tunelowania Windows Point-to-Point
• Składniki bufora wydruku systemu Windows
• Pulpit zdalny systemu Windows
• Interfejs dostawcy obsługi zabezpieczeń systemu Windows
• Serwer Windows dla małych i średnich firm
• Stos aktualizacji systemu Windows
• Xbox

Należy również wspomnieć, że z 71 opublikowanych dzisiaj CVE trzy mają ocenę krytyczną, a 68 ma stopień ważności ważny.

Według ekspertów i niektórych bardziej zaawansowanych technicznie użytkowników liczba poprawek krytycznych jest ponownie dziwnie niska w przypadku tej liczby błędów.

Co więcej, nadal nie jest pewne, czy ten niski odsetek błędów jest tylko zbiegiem okoliczności, czy też Microsoft może oceniać wagę przy użyciu innego rachunku niż w przeszłości.

CVE	Tytuł	Powaga	CVSS	Publiczny	Eksploatowany	Rodzaj
CVE-2022-24512	Luka w zabezpieczeniach .NET i Visual Studio umożliwiająca zdalne wykonanie kodu	Ważny	6.3	TAk	Nie	RCE
CVE-2022-21990	Luka w zabezpieczeniach klienta usług pulpitu zdalnego umożliwiająca zdalne wykonanie kodu	Ważny	8.8	TAk	Nie	RCE
CVE-2022-24459	Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi faksowania i skanowania w systemie Windows	Ważny	7.8	TAk	Nie	EoP
CVE-2022-22006	Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Krytyczny	7.8	Nie	Nie	RCE
CVE-2022-23277	Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server	Krytyczny	8.8	Nie	Nie	RCE
CVE-2022-24501	Luka w zabezpieczeniach rozszerzeń wideo VP9 umożliwiająca zdalne wykonanie kodu	Krytyczny	7.8	Nie	Nie	RCE
CVE-2022-24508	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu klienta/serwera w systemie Windows SMBv3	Ważny	8.8	Nie	Nie	RCE
CVE-2022-21967	Menedżer uwierzytelniania Xbox Live dla luki w zabezpieczeniach systemu Windows związanej z podniesieniem uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-24464	Luka w zabezpieczeniach platformy .NET i programu Visual Studio polegająca na odmowie usługi	Ważny	7.5	Nie	Nie	DoS
CVE-2022-24469	Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery	Ważny	8.1	Nie	Nie	EoP
CVE-2022-24506	Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery	Ważny	6.5	Nie	Nie	EoP
CVE-2022-24515	Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery	Ważny	6.5	Nie	Nie	EoP
CVE-2022-24518	Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery	Ważny	6.5	Nie	Nie	EoP
CVE-2022-24519	Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery	Ważny	6.5	Nie	Nie	EoP
CVE-2022-24467	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery	Ważny	7.2	Nie	Nie	RCE
CVE-2022-24468	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery	Ważny	7.2	Nie	Nie	RCE
CVE-2022-24470	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery	Ważny	7.2	Nie	Nie	RCE
CVE-2022-24471	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery	Ważny	7.2	Nie	Nie	RCE
CVE-2022-24517	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery	Ważny	7.2	Nie	Nie	RCE
CVE-2022-24520	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery	Ważny	7.2	Nie	Nie	RCE
CVE-2020-8927 *	Luka w zabezpieczeniach przepełnienia bufora biblioteki Brotli	Ważny	6.5	Nie	Nie	Nie dotyczy
CVE-2022-24457	Rozszerzenia obrazu HEIF Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-22007	Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-23301	Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-24452	Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-24453	Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-24456	Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-21977	Podatność Fundacji Medialnej na ujawnienie informacji	Ważny	3.3	Nie	Nie	Informacje
CVE-2022-22010	Podatność Fundacji Medialnej na ujawnienie informacji	Ważny	4.4	Nie	Nie	Informacje
CVE-2022-23278	Microsoft Defender dotyczący luki w zabezpieczeniach związanej z fałszowaniem punktów końcowych	Ważny	5.9	Nie	Nie	Podszywanie się
CVE-2022-23266	Microsoft Defender dla luki w zabezpieczeniach IoT związanej z podniesieniem uprawnień	Ważny	7.8	Nie	Nie	EoP
CVE-2022-23265	Microsoft Defender dla luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu IoT	Ważny	7.2	Nie	Nie	RCE
CVE-2022-24463	Luka w zabezpieczeniach serwera Microsoft Exchange umożliwiająca fałszowanie	Ważny	6.5	Nie	Nie	Podszywanie się
CVE-2022-24465	Portal usługi Microsoft Intune dotyczący luki w zabezpieczeniach umożliwiającej obejście funkcji zabezpieczeń systemu iOS	Ważny	3.3	Nie	Nie	SFB
CVE-2022-24461	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu programu Microsoft Office Visio	Ważny	7.8	Nie	Nie	RCE
CVE-2022-24509	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu programu Microsoft Office Visio	Ważny	7.8	Nie	Nie	RCE
CVE-2022-24510	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu programu Microsoft Office Visio	Ważny	7.8	Nie	Nie	RCE
CVE-2022-24511	Luka w zabezpieczeniach programu Microsoft Office polegająca na manipulowaniu słowami	Ważny	5.5	Nie	Nie	Manipulowanie
CVE-2022-24462	Luka dotycząca pomijania funkcji zabezpieczeń programu Microsoft Word	Ważny	5.5	Nie	Nie	SFB
CVE-2022-23282	Luka w zabezpieczeniach programu Paint 3D umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-23253	Luka w zabezpieczeniach protokołu odmowy usługi tunelowania typu punkt-punkt	Ważny	6.5	Nie	Nie	DoS
CVE-2022-23295	Luka w zabezpieczeniach rozszerzenia obrazu surowego umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-23300	Luka w zabezpieczeniach rozszerzenia obrazu surowego umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-23285	Luka w zabezpieczeniach klienta usług pulpitu zdalnego umożliwiająca zdalne wykonanie kodu	Ważny	8.8	Nie	Nie	RCE
CVE-2022-24503	Luka w zabezpieczeniach klienta protokołu pulpitu zdalnego umożliwiająca ujawnienie informacji	Ważny	5.4	Nie	Nie	Informacje
CVE-2022-24522	Rozszerzenie Skype dla luki w zabezpieczeniach Chrome umożliwiającej ujawnienie informacji	Ważny	7.5	Nie	Nie	Informacje
CVE-2022-24460	Luka w zabezpieczeniach aplikacji interfejsu użytkownika systemu Windows na tablecie w celu podniesienia uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-24526	Luka umożliwiająca fałszowanie kodu programu Visual Studio	Ważny	6.1	Nie	Nie	Podszywanie się
CVE-2022-24451	Luka w zabezpieczeniach rozszerzeń wideo VP9 umożliwiająca zdalne wykonanie kodu	Ważny	7.8	Nie	Nie	RCE
CVE-2022-23283	Luka w zabezpieczeniach systemu Windows ALPC dotycząca podniesienia uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-23287	Luka w zabezpieczeniach systemu Windows ALPC dotycząca podniesienia uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-24505	Luka w zabezpieczeniach systemu Windows ALPC dotycząca podniesienia uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-24507	Sterownik funkcji pomocniczych systemu Windows dla luki w zabezpieczeniach programu WinSock dotyczącej podniesienia uprawnień	Ważny	7.8	Nie	Nie	EoP
CVE-2022-24455	Luka dotycząca podniesienia uprawnień sterownika dysku CD-ROM w systemie Windows	Ważny	7.8	Nie	Nie	EoP
CVE-2022-23286	Windows Cloud Files Mini Filter Driver Podatność na podniesienie uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-23281	Luka w zabezpieczeniach systemu plików dziennika wspólnego systemu plików systemu Windows umożliwiająca ujawnienie informacji	Ważny	5.5	Nie	Nie	Informacje
CVE-2022-23288	Luka w zabezpieczeniach dotycząca podniesienia uprawnień w bibliotece Windows DWM Core	Ważny	7	Nie	Nie	EoP
CVE-2022-23291	Luka w zabezpieczeniach dotycząca podniesienia uprawnień w bibliotece Windows DWM Core	Ważny	7.8	Nie	Nie	EoP
CVE-2022-23294	Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu śledzenia zdarzeń systemu Windows	Ważny	8.8	Nie	Nie	RCE
CVE-2022-23293	Luka w zabezpieczeniach dotycząca podniesienia uprawnień sterownika systemu plików Windows Fast FAT	Ważny	7.8	Nie	Nie	EoP
CVE-2022-24502	Luka w zabezpieczeniach platformy Windows HTML polegająca na omijaniu funkcji zabezpieczeń	Ważny	4.3	Nie	Nie	SFB
CVE-2022-21975	Luka w zabezpieczeniach funkcji Windows Hyper-V typu „odmowa usługi”	Ważny	4.7	Nie	Nie	DoS
CVE-2022-23290	Luka w zabezpieczeniach dotycząca podniesienia uprawnień systemu Windows Inking COM	Ważny	7.8	Nie	Nie	EoP
CVE-2022-23296	Luka w zabezpieczeniach dotycząca podniesienia uprawnień Instalatora Windows	Ważny	7.8	Nie	Nie	EoP
CVE-2022-21973	Usterka dotycząca aktualizacji programu Windows Media Center polegająca na odmowie usługi	Ważny	5.5	Nie	Nie	DoS
CVE-2022-23297	Luka w zabezpieczeniach umożliwiająca ujawnienie informacji o sterowniku w systemie Windows NT Lan Manager Datagram Receiver	Ważny	5.5	Nie	Nie	Informacje
CVE-2022-23298	Luka w zabezpieczeniach jądra systemu Windows NT umożliwiająca podniesienie uprawnień	Ważny	7	Nie	Nie	EoP
CVE-2022-23299	Luka w zabezpieczeniach systemu Windows PDEV dotycząca podniesienia uprawnień	Ważny	7.8	Nie	Nie	EoP
CVE-2022-23284	Luka w zabezpieczeniach dotycząca podniesienia uprawnień bufora wydruku systemu Windows	Ważny	7.2	Nie	Nie	EoP
CVE-2022-24454	Luka w zabezpieczeniach interfejsu dostawcy obsługi zabezpieczeń systemu Windows umożliwiająca podniesienie uprawnień	Ważny	7.8	Nie	Nie	EoP
CVE-2022-24525	Luka dotycząca podwyższenia uprawnień w stosie usługi Windows Update	Ważny	7	Nie	Nie	EoP
CVE-2022-0789	Chromium: przepełnienie bufora sterty w ANGLE	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0797	Chromium: poza granicami dostępu do pamięci w Mojo	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0792	Chromium: poza granicami czytane w ANGLE	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0795	Chromium: zamieszanie typów w układzie migania	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0790	Chromium: używaj po zwolnieniu w Cast UI	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0796	Chromium: używaj po zwolnieniu w mediach	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0791	Chromium: używaj po zwolnieniu w omniboksie	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0793	Chromium: używaj po zwolnieniu w widokach	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0794	Chromium: używaj po bezpłatnym w WebShare	Wysoka	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0800	Chromium: przepełnienie buforu sterty w interfejsie Cast	Średni	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0807	Chromium: niewłaściwa implementacja w autouzupełnianiu	Średni	Nie dotyczy	Nie	Nie	Informacje
CVE-2022-0802	Chromium: niewłaściwa implementacja w trybie pełnoekranowym	Średni	Nie dotyczy	Nie	Nie	Informacje
CVE-2022-0804	Chromium: niewłaściwa implementacja w trybie pełnoekranowym	Średni	Nie dotyczy	Nie	Nie	Informacje
CVE-2022-0801	Chromium: niewłaściwa implementacja w parserze HTML	Średni	Nie dotyczy	Nie	Nie	Manipulowanie
CVE-2022-0803	Chromium: niewłaściwa implementacja w uprawnieniach	Średni	Nie dotyczy	Nie	Nie	SFB
CVE-2022-0799	Chromium: niewystarczające egzekwowanie zasad w instalatorze	Średni	Nie dotyczy	Nie	Nie	SFB
CVE-2022-0809	Chromium: dostęp do pamięci poza granicami w WebXR	Średni	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0805	Chromium: używaj po bezpłatnym w przełączniku przeglądarki	Średni	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0808	Chromium: używaj po zwolnieniu w powłoce Chrome OS	Średni	Nie dotyczy	Nie	Nie	RCE
CVE-2022-0798	Chromium: używaj po zwolnieniu w MediaStream	Średni	Nie dotyczy	Nie	Nie	RCE

Należy pamiętać, że żaden z błędów nie znajduje się na liście aktywnych exploitów w tym miesiącu, podczas gdy trzy są wymienione jako znane publicznie w momencie wydania.

To są wszystkie CVE, o których mowa we wtorkowym wydaniu łatki w tym miesiącu. Ogólnie rzecz biorąc, był to dość mocny, ale bezpieczny miesiąc w porównaniu z poprzednimi sytuacjami.

Następna partia oprogramowania we wtorek pojawi się 12 kwietnia i wszyscy jesteśmy ciekawi, co Microsoft wymyśli do tego czasu.

Miejmy wszyscy nadzieję, że nie będziemy musieli zajmować się krytycznymi problemami, i że od teraz żeglowanie będzie płynne.

Czy ten artykuł był dla Ciebie pomocny? Podziel się swoją opinią w sekcji komentarzy poniżej.