- Na lipiec 2022 r. Microsoft opublikował długą listę 84 nowe aktualizacje zabezpieczeń.
- Spośród wszystkich CVE,5 jest krytycznych, a 80 z nich jest wymienionych jako ważne.
- W tym artykule uwzględniliśmy wszystkich, a także bezpośrednie linki
Jeśli czujesz się trochę nieswojo, to dlatego, że mamy już lipiec, a temperatury powoli budują nas w naszych biurach.
Użytkownicy systemu Windows patrzą jednak na Microsoft w nadziei, że niektóre z wad, z którymi się zmagali, zostaną w końcu naprawione.
Udostępniliśmy już bezpośrednie linki do pobierania dla zbiorczych aktualizacji wydanych dzisiaj dla Windows 10 i 11, ale teraz nadszedł czas, aby ponownie porozmawiać o krytycznych lukach i narażeniach.
W tym miesiącu gigant technologiczny z Redmond wypuścił 84 nowe łatki, czyli znacznie więcej, niż niektórzy oczekiwali tuż po Wielkanocy.
Te aktualizacje oprogramowania dotyczą CVE w:
- Microsoft Windows i składniki Windows
- Komponenty Windows Azure
- Microsoft Defender dla punktów końcowych
- Microsoft Edge (na bazie chromu)
- Komponenty biurowe i biurowe
- Funkcja BitLocker systemu Windows
- Windows Hyper-V
- Skype dla firm i Microsoft Lync
- Oprogramowanie open source
- Xbox
Microsoft dostarczył poprawki 84 błędów w lipcu 2022 r.
Można śmiało powiedzieć, że nie był to ani najbardziej pracowity, ani najlżejszy miesiąc dla ekspertów ds. Bezpieczeństwa z Redmond.
Możesz chcieć wiedzieć, że z 84 nowych wydanych CVE, 4 mają ocenę krytyczną, a pozostałe (80) są oceniane jako ważne.
Mówimy o 52 lukach związanych z podniesieniem uprawnień, 4 lukach omijania funkcji bezpieczeństwa, 12 podatności na zdalne wykonanie kodu, 11 podatności na ujawnienie informacji i 5 odmów usługi luki
| CVE | Tytuł | Surowość | CVSS | Publiczny | Eksploatowany | Rodzaj |
| CVE-2022-22047 | Luka w zabezpieczeniach systemu Windows CSRSS dotycząca podniesienia uprawnień | Ważny | 7.8 | Nie | TAk | EoP |
| CVE-2022-22038 | Luka umożliwiająca zdalne wywołanie procedury w czasie wykonywania kodu | Krytyczny | 8.1 | Nie | Nie | RCE |
| CVE-2022-30221 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu składnika graficznego systemu Windows | Krytyczny | 8.8 | Nie | Nie | RCE |
| CVE-2022-22029 | Luka w zabezpieczeniach systemu plików systemu Windows umożliwiająca zdalne wykonanie kodu | Krytyczny | 8.1 | Nie | Nie | RCE |
| CVE-2022-22039 | Luka w zabezpieczeniach systemu plików systemu Windows umożliwiająca zdalne wykonanie kodu | Krytyczny | 7.5 | Nie | Nie | RCE |
| CVE-2022-30215 | Podatność na podniesienie uprawnień w usługach federacyjnych Active Directory | Ważny | 7.5 | Nie | Nie | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 Zamieszanie typu oddziału procesora AMD | Ważny | Nie dotyczy | Nie | Nie | Informacje |
| CVE-2022-23825 * | AMD: CVE-2022-23825 Zamieszanie typu rozgałęzienia procesora AMD | Ważny | Nie dotyczy | Nie | Nie | Informacje |
| CVE-2022-30181 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33641 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33642 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33643 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33650 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33651 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33652 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.4 | Nie | Nie | EoP |
| CVE-2022-33653 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33654 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33655 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33656 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33657 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33658 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.4 | Nie | Nie | EoP |
| CVE-2022-33659 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33660 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33661 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33662 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33663 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33664 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33665 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33666 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33667 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33668 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33669 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33671 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 4.9 | Nie | Nie | EoP |
| CVE-2022-33672 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33673 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 6.5 | Nie | Nie | EoP |
| CVE-2022-33674 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 8.3 | Nie | Nie | EoP |
| CVE-2022-33675 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-33677 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi Azure Site Recovery | Ważny | 7.2 | Nie | Nie | EoP |
| CVE-2022-33676 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery | Ważny | 7.2 | Nie | Nie | RCE |
| CVE-2022-33678 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi Azure Site Recovery | Ważny | 7.2 | Nie | Nie | RCE |
| CVE-2022-30187 | Luka w zabezpieczeniach umożliwiająca ujawnienie informacji biblioteki usługi Azure Storage | Ważny | 4.7 | Nie | Nie | Informacje |
| CVE-2022-22048 | Luka w zabezpieczeniach funkcji BitLocker dotycząca obejścia funkcji bezpieczeństwa | Ważny | 6.1 | Nie | Nie | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Luka w zabezpieczeniach niewystarczająco chronionych danych uwierzytelniających może spowodować wyciek danych uwierzytelniania lub nagłówka plików cookie | Ważny | Nie dotyczy | Nie | Nie | Informacje |
| CVE-2022-22040 | Luka w zabezpieczeniach modułu dynamicznej kompresji internetowych usług informacyjnych (odmowa usługi) | Ważny | 7.3 | Nie | Nie | DoS |
| CVE-2022-33637 | Microsoft Defender dla luki w zabezpieczeniach związanej z manipulacją w punktach końcowych | Ważny | 6.5 | Nie | Nie | Manipulowanie |
| CVE-2022-33632 | Luka umożliwiająca obejście funkcji zabezpieczeń pakietu Microsoft Office | Ważny | 4.7 | Nie | Nie | SFB |
| CVE-2022-22036 | Liczniki wydajności dotyczące luki w zabezpieczeniach systemu Windows związanej z podniesieniem uprawnień | Ważny | 7 | Nie | Nie | EoP |
| CVE-2022-33633 | Luka w zabezpieczeniach programu Skype dla firm i Lync umożliwiająca zdalne wykonanie kodu | Ważny | 7.2 | Nie | Nie | RCE |
| CVE-2022-22037 | Zaawansowana lokalna procedura systemu Windows podatna na podniesienie uprawnień | Ważny | 7.5 | Nie | Nie | EoP |
| CVE-2022-30202 | Zaawansowana lokalna procedura systemu Windows podatna na podniesienie uprawnień | Ważny | 7 | Nie | Nie | EoP |
| CVE-2022-30224 | Zaawansowana lokalna procedura systemu Windows podatna na podniesienie uprawnień | Ważny | 7 | Nie | Nie | EoP |
| CVE-2022-22711 | Luka w zabezpieczeniach umożliwiająca ujawnienie informacji funkcji BitLocker w systemie Windows | Ważny | 6.7 | Nie | Nie | Informacje |
| CVE-2022-30203 | Luka w zabezpieczeniach omijająca funkcję zabezpieczeń Menedżera rozruchu systemu Windows | Ważny | 7.4 | Nie | Nie | SFB |
| CVE-2022-30220 | Luka w zabezpieczeniach sterownika systemu plików dziennika wspólnego systemu Windows umożliwiająca podniesienie uprawnień | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-30212 | Luka w zabezpieczeniach usługi platformy Windows Connected Devices umożliwiająca ujawnienie informacji | Ważny | 4.7 | Nie | Nie | Informacje |
| CVE-2022-22031 | Luka w zabezpieczeniach klucza publicznego związanego z podniesieniem uprawnień systemu Windows Credential Guard | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-22026 | Luka w zabezpieczeniach systemu Windows CSRSS dotycząca podniesienia uprawnień | Ważny | 8.8 | Nie | Nie | EoP |
| CVE-2022-22049 | Luka w zabezpieczeniach systemu Windows CSRSS dotycząca podniesienia uprawnień | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-30214 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows | Ważny | 6.6 | Nie | Nie | RCE |
| CVE-2022-22043 | Luka dotycząca podniesienia uprawnień sterownika systemu plików Windows Fast FAT | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-22050 | Luka dotycząca podniesienia uprawnień usługi faksowania w systemie Windows | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-22024 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi faksowania w systemie Windows | Ważny | 7.8 | Nie | Nie | RCE |
| CVE-2022-22027 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu usługi faksowania w systemie Windows | Ważny | 7.8 | Nie | Nie | RCE |
| CVE-2022-30213 | Luka w zabezpieczeniach systemu Windows GDI+ umożliwiająca ujawnienie informacji | Ważny | 5.5 | Nie | Nie | Informacje |
| CVE-2022-22034 | Luka umożliwiająca podniesienie uprawnień składnika graficznego systemu Windows | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-30205 | Luka dotycząca podniesienia uprawnień w zasadach grupy systemu Windows | Ważny | 6.6 | Nie | Nie | EoP |
| CVE-2022-22042 | Luka w zabezpieczeniach funkcji Windows Hyper-V umożliwiająca ujawnienie informacji | Ważny | 6.5 | Nie | Nie | Informacje |
| CVE-2022-30223 | Luka w zabezpieczeniach funkcji Windows Hyper-V umożliwiająca ujawnienie informacji | Ważny | 5.7 | Nie | Nie | Informacje |
| CVE-2022-30209 | Luka w zabezpieczeniach systemu Windows IIS Server umożliwiająca podniesienie uprawnień | Ważny | 7.4 | Nie | Nie | EoP |
| CVE-2022-22025 | Luka w zabezpieczeniach modułu Cachuri Internet Information Services systemu Windows umożliwiająca atak typu „odmowa usługi” | Ważny | 7.5 | Nie | Nie | DoS |
| CVE-2022-21845 | Luka w zabezpieczeniach jądra systemu Windows umożliwiająca ujawnienie informacji | Ważny | 4.7 | Nie | Nie | Informacje |
| CVE-2022-30211 | Luka w zabezpieczeniach protokołu tunelowania warstwy 2 systemu Windows (L2TP) umożliwiająca zdalne wykonanie kodu | Ważny | 7.5 | Nie | Nie | RCE |
| CVE-2022-30225 | Podatność na podniesienie uprawnień w usłudze udostępniania sieci w programie Windows Media Player | Ważny | 7.1 | Nie | Nie | EoP |
| CVE-2022-22028 | Luka w zabezpieczeniach systemu plików systemu Windows umożliwiająca ujawnienie informacji | Ważny | 5.9 | Nie | Nie | Informacje |
| CVE-2022-22023 | Luka w zabezpieczeniach usługi modułu wyliczającego urządzenia przenośne systemu Windows umożliwiająca obejście luki w zabezpieczeniach | Ważny | 6.6 | Nie | Nie | SFB |
| CVE-2022-22022 | Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows | Ważny | 7.1 | Nie | Nie | EoP |
| CVE-2022-22041 | Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows | Ważny | 6.8 | Nie | Nie | EoP |
| CVE-2022-30206 | Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-30226 | Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows | Ważny | 7.1 | Nie | Nie | EoP |
| CVE-2022-30208 | Luka w zabezpieczeniach Menedżera kont zabezpieczeń systemu Windows (SAM) umożliwiająca odmowę usługi | Ważny | 6.5 | Nie | Nie | DoS |
| CVE-2022-30216 | Luka umożliwiająca manipulowanie usługą Windows Server | Ważny | 8.8 | Nie | Nie | Manipulowanie |
| CVE-2022-30222 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu powłoki systemu Windows | Ważny | 8.4 | Nie | Nie | RCE |
| CVE-2022-22045 | Okna. Urządzenia. Luka w zabezpieczeniach pliku Picker.dll polegająca na podniesieniu uprawnień | Ważny | 7.8 | Nie | Nie | EoP |
| CVE-2022-33644 | Podatność na podniesienie uprawnień usługi Xbox Live Save | Ważny | 7 | Nie | Nie | EoP |
| CVE-2022-2294 * | Chrom: CVE-2022-2294 Przepełnienie buforu sterty w WebRTC | Wysoki | Nie dotyczy | Nie | TAk | RCE |
| CVE-2022-2295 * | Chrom: CVE-2022-2295 Type Confusion w V8 | Wysoki | Nie dotyczy | Nie | Nie | RCE |
Należy pamiętać, że aktualizacje wtorkowej łatki w tym miesiącu naprawiają aktywnie wykorzystywaną lukę zerowego dnia podniesienia uprawnień.
Firma sklasyfikowała lukę jako zero-day, jeśli została publicznie ujawniona lub aktywnie wykorzystana bez dostępnej oficjalnej poprawki.
Aby było bardziej jasne, aktywnie wykorzystywana luka zero-day, naprawiona dzisiaj, jest śledzona jako CVE-2022-22047 — luka w zabezpieczeniach systemu Windows CSRSS dotycząca podniesienia uprawnień.
Wykorzystując go, złośliwa strona trzecia może faktycznie uzyskać uprawnienia SYSTEMOWE, jak doradzali eksperci ds. bezpieczeństwa firmy Microsoft w ostatnim wydaniu.
Co równie ważne, pamiętaj, że w wydaniu z tego miesiąca są trzy poprawki błędów związanych z odmową usługi (DoS), z których wszystkie mają wpływ.
A spośród 52 poprawek błędów EoP, 30 z nich dotyczy błędów usługi Azure Site Recovery, z których jedna prawdopodobnie jest aktywnie atakowana.
Patrząc w przyszłość, kolejna aktualizacja zabezpieczeń we wtorek odbędzie się 9 sierpnia, czyli nieco wcześniej, niż niektórzy się spodziewali.
Czy po zainstalowaniu aktualizacji zabezpieczeń w tym miesiącu znalazłeś jakieś inne problemy? Podziel się swoją opinią w sekcji komentarzy poniżej.
