- Um mês bastante movimentado para o lançamento do Microsoft Patch Tuesday, com 71 CVEs.
- De todos os CVEs, 68 foram marcados como importantes e nenhum como moderado.
- No entanto, a gigante da tecnologia de Redmond teve que lidar com três bugs críticos desagradáveis.
- Incluímos cada um neste artigo, com links diretos também.
É aquela época do mês novamente, e todos estão olhando para a Microsoft, na esperança de que algumas das falhas com as quais estão lutando finalmente sejam corrigidas.
Já fornecemos o links para download direto para as atualizações cumulativas lançadas hoje para Windows 10 e 11, mas agora é hora de falar novamente sobre Vulnerabilidades e Exposições Críticas.
Em termos de peso, o lançamento deste mês coincide com os lançamentos de produtos de anos anteriores, que geralmente giram em torno de 60 a 70 CVEs.
Vamos mergulhar nisso e ver quais vulnerabilidades desapareceram completamente de nossas vidas, agora que esses patches estão ativos.
Três bugs críticos resolvidos este mês
Para o terceiro mês de 2022, a Microsoft lançou 71 novos patches. Isso se soma aos 21 CVEs corrigidos pelo Microsoft Edge (baseado no Chromium) no início deste mês, o que eleva o total de março para 92 CVEs.
Assim, os 71 novos patches que ficaram disponíveis hoje abordam CVEs em:
- .NET e Visual Studio
- Recuperação de sites do Azure
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para IoT
- Microsoft Edge (baseado no Chromium)
- Servidor Microsoft Exchange
- Microsoft Intune
- Microsoft Office Visão
- Microsoft Office Word
- Microsoft Windows ALPC
- Biblioteca de Codecs do Microsoft Windows
- Pintar 3D
- Função: Windows Hyper-V
- Extensão do Skype para Chrome
- Interface de usuário do tablet Windows
- Código do Visual Studio
- Driver de função auxiliar do Windows para WinSock
- Driver de CD-ROM do Windows
- Driver de minifiltro de arquivos em nuvem do Windows
- Windows COM
- Driver do sistema de arquivos de log comum do Windows
- Biblioteca principal do Windows DWM
- Rastreamento de eventos do Windows
- Driver do Windows Fastfat
- Serviço de fax e digitalização do Windows
- Plataforma HTML do Windows
- instalador do Windows
- Kernel do Windows
- Windows Media
- Windows PDEV
- Protocolo de encapsulamento ponto a ponto do Windows
- Componentes do spooler de impressão do Windows
- Área de trabalho remota do Windows
- Interface do provedor de suporte de segurança do Windows
- Servidor Windows SMB
- Pilha de atualizações do Windows
- XBox
O que também é importante mencionar é que, dos 71 CVEs lançados hoje, três são classificados como Críticos e 68 são classificados como Importantes em gravidade.
O número de patches com classificação crítica é novamente estranhamente baixo para esse número de bugs, de acordo com especialistas e alguns dos usuários mais experientes em tecnologia.
Além disso, ainda é incerto se essa baixa porcentagem de bugs é apenas uma coincidência ou se a Microsoft pode estar avaliando a gravidade usando cálculos diferentes do passado.
| CVE | Título | Gravidade | CVSS | Público | Explorado | Tipo |
| CVE-2022-24512 | Vulnerabilidade de execução remota de código .NET e Visual Studio | Importante | 6.3 | sim | Não | RCE |
| CVE-2022-21990 | Vulnerabilidade de execução remota de código do cliente de área de trabalho remota | Importante | 8.8 | sim | Não | RCE |
| CVE-2022-24459 | Vulnerabilidade de elevação de privilégio do serviço de fax e digitalização do Windows | Importante | 7.8 | sim | Não | EoP |
| CVE-2022-22006 | Vulnerabilidade de execução remota de código de extensões de vídeo HEVC | Crítico | 7.8 | Não | Não | RCE |
| CVE-2022-23277 | Vulnerabilidade de execução remota de código do Microsoft Exchange Server | Crítico | 8.8 | Não | Não | RCE |
| CVE-2022-24501 | Vulnerabilidade de execução remota de código de extensões de vídeo VP9 | Crítico | 7.8 | Não | Não | RCE |
| CVE-2022-24508 | Vulnerabilidade de execução remota de código do cliente/servidor Windows SMBv3 | Importante | 8.8 | Não | Não | RCE |
| CVE-2022-21967 | Vulnerabilidade de elevação de privilégio do Xbox Live Auth Manager para Windows | Importante | 7 | Não | Não | EoP |
| CVE-2022-24464 | Vulnerabilidade de negação de serviço do .NET e do Visual Studio | Importante | 7.5 | Não | Não | DoS |
| CVE-2022-24469 | Vulnerabilidade de elevação de privilégios do Azure Site Recovery | Importante | 8.1 | Não | Não | EoP |
| CVE-2022-24506 | Vulnerabilidade de elevação de privilégios do Azure Site Recovery | Importante | 6.5 | Não | Não | EoP |
| CVE-2022-24515 | Vulnerabilidade de elevação de privilégios do Azure Site Recovery | Importante | 6.5 | Não | Não | EoP |
| CVE-2022-24518 | Vulnerabilidade de elevação de privilégios do Azure Site Recovery | Importante | 6.5 | Não | Não | EoP |
| CVE-2022-24519 | Vulnerabilidade de elevação de privilégios do Azure Site Recovery | Importante | 6.5 | Não | Não | EoP |
| CVE-2022-24467 | Vulnerabilidade de execução remota de código do Azure Site Recovery | Importante | 7.2 | Não | Não | RCE |
| CVE-2022-24468 | Vulnerabilidade de execução remota de código do Azure Site Recovery | Importante | 7.2 | Não | Não | RCE |
| CVE-2022-24470 | Vulnerabilidade de execução remota de código do Azure Site Recovery | Importante | 7.2 | Não | Não | RCE |
| CVE-2022-24471 | Vulnerabilidade de execução remota de código do Azure Site Recovery | Importante | 7.2 | Não | Não | RCE |
| CVE-2022-24517 | Vulnerabilidade de execução remota de código do Azure Site Recovery | Importante | 7.2 | Não | Não | RCE |
| CVE-2022-24520 | Vulnerabilidade de execução remota de código do Azure Site Recovery | Importante | 7.2 | Não | Não | RCE |
| CVE-2020-8927 * | Vulnerabilidade de estouro de buffer da biblioteca Brotli | Importante | 6.5 | Não | Não | N / D |
| CVE-2022-24457 | Vulnerabilidade de execução remota de código de extensões de imagem HEIF | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-22007 | Vulnerabilidade de execução remota de código de extensões de vídeo HEVC | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-23301 | Vulnerabilidade de execução remota de código de extensões de vídeo HEVC | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-24452 | Vulnerabilidade de execução remota de código de extensões de vídeo HEVC | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-24453 | Vulnerabilidade de execução remota de código de extensões de vídeo HEVC | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-24456 | Vulnerabilidade de execução remota de código de extensões de vídeo HEVC | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-21977 | Vulnerabilidade de divulgação de informações da Media Foundation | Importante | 3.3 | Não | Não | Informações |
| CVE-2022-22010 | Vulnerabilidade de divulgação de informações da Media Foundation | Importante | 4.4 | Não | Não | Informações |
| CVE-2022-23278 | Vulnerabilidade de falsificação do Microsoft Defender para endpoints | Importante | 5.9 | Não | Não | Falsificação |
| CVE-2022-23266 | Vulnerabilidade de Elevação de Privilégios do Microsoft Defender para IoT | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-23265 | Vulnerabilidade de execução remota de código do Microsoft Defender para IoT | Importante | 7.2 | Não | Não | RCE |
| CVE-2022-24463 | Vulnerabilidade de falsificação do Microsoft Exchange Server | Importante | 6.5 | Não | Não | Falsificação |
| CVE-2022-24465 | Vulnerabilidade de desvio do recurso de segurança do Portal do Microsoft Intune para iOS | Importante | 3.3 | Não | Não | SFB |
| CVE-2022-24461 | Vulnerabilidade de execução remota de código do Microsoft Office Visio | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-24509 | Vulnerabilidade de execução remota de código do Microsoft Office Visio | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-24510 | Vulnerabilidade de execução remota de código do Microsoft Office Visio | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-24511 | Vulnerabilidade de adulteração do Microsoft Office Word | Importante | 5.5 | Não | Não | Adulteração |
| CVE-2022-24462 | Vulnerabilidade de desvio do recurso de segurança do Microsoft Word | Importante | 5.5 | Não | Não | SFB |
| CVE-2022-23282 | Vulnerabilidade de execução remota de código do Paint 3D | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-23253 | Vulnerabilidade de negação de serviço do protocolo de encapsulamento ponto a ponto | Importante | 6.5 | Não | Não | DoS |
| CVE-2022-23295 | Vulnerabilidade de execução remota de código de extensão de imagem bruta | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-23300 | Vulnerabilidade de execução remota de código de extensão de imagem bruta | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-23285 | Vulnerabilidade de execução remota de código do cliente de área de trabalho remota | Importante | 8.8 | Não | Não | RCE |
| CVE-2022-24503 | Vulnerabilidade de divulgação de informações do cliente do Remote Desktop Protocol | Importante | 5.4 | Não | Não | Informações |
| CVE-2022-24522 | Extensão do Skype para vulnerabilidade de divulgação de informações do Chrome | Importante | 7.5 | Não | Não | Informações |
| CVE-2022-24460 | Vulnerabilidade de elevação de privilégio do aplicativo da interface do usuário do Windows do tablet | Importante | 7 | Não | Não | EoP |
| CVE-2022-24526 | Vulnerabilidade de falsificação de código do Visual Studio | Importante | 6.1 | Não | Não | Falsificação |
| CVE-2022-24451 | Vulnerabilidade de execução remota de código de extensões de vídeo VP9 | Importante | 7.8 | Não | Não | RCE |
| CVE-2022-23283 | Vulnerabilidade de elevação de privilégios do Windows ALPC | Importante | 7 | Não | Não | EoP |
| CVE-2022-23287 | Vulnerabilidade de elevação de privilégios do Windows ALPC | Importante | 7 | Não | Não | EoP |
| CVE-2022-24505 | Vulnerabilidade de elevação de privilégios do Windows ALPC | Importante | 7 | Não | Não | EoP |
| CVE-2022-24507 | Driver de função auxiliar do Windows para vulnerabilidade de elevação de privilégio do WinSock | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-24455 | Vulnerabilidade de elevação de privilégio do driver de CD-ROM do Windows | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-23286 | Vulnerabilidade de elevação de privilégio do driver de minifiltro de arquivos em nuvem do Windows | Importante | 7 | Não | Não | EoP |
| CVE-2022-23281 | Vulnerabilidade de divulgação de informações do driver do sistema de arquivos de log comum do Windows | Importante | 5.5 | Não | Não | Informações |
| CVE-2022-23288 | Vulnerabilidade de elevação de privilégio da biblioteca principal do Windows DWM | Importante | 7 | Não | Não | EoP |
| CVE-2022-23291 | Vulnerabilidade de elevação de privilégio da biblioteca principal do Windows DWM | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-23294 | Vulnerabilidade de execução remota de código de rastreamento de eventos do Windows | Importante | 8.8 | Não | Não | RCE |
| CVE-2022-23293 | Vulnerabilidade de elevação de privilégio do driver do sistema de arquivos FAT do Windows Fast | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-24502 | Vulnerabilidade de desvio do recurso de segurança das plataformas HTML do Windows | Importante | 4.3 | Não | Não | SFB |
| CVE-2022-21975 | Vulnerabilidade de negação de serviço do Windows Hyper-V | Importante | 4.7 | Não | Não | DoS |
| CVE-2022-23290 | Vulnerabilidade de elevação de privilégio do Windows Inking COM | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-23296 | Vulnerabilidade de elevação de privilégio do Windows Installer | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-21973 | Vulnerabilidade de negação de serviço da atualização do Windows Media Center | Importante | 5.5 | Não | Não | DoS |
| CVE-2022-23297 | Vulnerabilidade de divulgação de informações do driver do receptor de datagrama do Windows NT Lan Manager | Importante | 5.5 | Não | Não | Informações |
| CVE-2022-23298 | Vulnerabilidade de elevação de privilégios do kernel do sistema operacional Windows NT | Importante | 7 | Não | Não | EoP |
| CVE-2022-23299 | Vulnerabilidade de elevação de privilégio do Windows PDEV | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-23284 | Vulnerabilidade de elevação de privilégio do spooler de impressão do Windows | Importante | 7.2 | Não | Não | EoP |
| CVE-2022-24454 | Vulnerabilidade de elevação de privilégio da interface do provedor de suporte de segurança do Windows | Importante | 7.8 | Não | Não | EoP |
| CVE-2022-24525 | Vulnerabilidade de elevação de privilégio de pilha do Windows Update | Importante | 7 | Não | Não | EoP |
| CVE-2022-0789 | Chromium: estouro de buffer de heap em ANGLE | Alto | N / D | Não | Não | RCE |
| CVE-2022-0797 | Chromium: acesso à memória fora dos limites no Mojo | Alto | N / D | Não | Não | RCE |
| CVE-2022-0792 | Chromium: Fora dos limites lidos em ANGLE | Alto | N / D | Não | Não | RCE |
| CVE-2022-0795 | Chromium: Confusão de tipos no layout Blink | Alto | N / D | Não | Não | RCE |
| CVE-2022-0790 | Chromium: use gratuitamente na IU do Cast | Alto | N / D | Não | Não | RCE |
| CVE-2022-0796 | Chromium: Use depois de grátis na mídia | Alto | N / D | Não | Não | RCE |
| CVE-2022-0791 | Chromium: Use depois de grátis na Omnibox | Alto | N / D | Não | Não | RCE |
| CVE-2022-0793 | Chromium: Use depois de grátis em Views | Alto | N / D | Não | Não | RCE |
| CVE-2022-0794 | Chromium: Use depois de graça no WebShare | Alto | N / D | Não | Não | RCE |
| CVE-2022-0800 | Chromium: estouro de buffer de pilha na IU do Cast | Médio | N / D | Não | Não | RCE |
| CVE-2022-0807 | Chromium: implementação inadequada no preenchimento automático | Médio | N / D | Não | Não | Informações |
| CVE-2022-0802 | Chromium: implementação inadequada no modo de tela cheia | Médio | N / D | Não | Não | Informações |
| CVE-2022-0804 | Chromium: implementação inadequada no modo de tela cheia | Médio | N / D | Não | Não | Informações |
| CVE-2022-0801 | Chromium: implementação inadequada no analisador HTML | Médio | N / D | Não | Não | Adulteração |
| CVE-2022-0803 | Chromium: implementação inadequada em permissões | Médio | N / D | Não | Não | SFB |
| CVE-2022-0799 | Chromium: aplicação de política insuficiente no instalador | Médio | N / D | Não | Não | SFB |
| CVE-2022-0809 | Chromium: acesso à memória fora dos limites no WebXR | Médio | N / D | Não | Não | RCE |
| CVE-2022-0805 | Chromium: Use depois de grátis no Browser Switcher | Médio | N / D | Não | Não | RCE |
| CVE-2022-0808 | Chromium: use gratuitamente no Chrome OS Shell | Médio | N / D | Não | Não | RCE |
| CVE-2022-0798 | Chromium: Use depois de grátis no MediaStream | Médio | N / D | Não | Não | RCE |
Tenha em mente que nenhum dos bugs está listado como exploração ativa este mês, enquanto três estão listados como conhecidos publicamente no momento do lançamento.
Estes são todos os CVEs abordados com o lançamento do Patch Tuesday deste mês. No geral, este foi um mês bastante robusto, mas seguro, em comparação com situações anteriores.
O próximo lote de software do Patch Tuesday chegará em 12 de abril e estamos todos curiosos para ver o que a Microsoft apresentará até então.
Vamos todos torcer para que não tenhamos que lidar com problemas críticos, e isso só será bom a partir de agora.
Este artigo foi útil para você? Compartilhe sua opinião na seção de comentários abaixo.
