- На июль 2022 года Microsoft опубликовала длинный список из 84 новые обновления безопасности.
- Из всех CVE,5 являются критическими, а 80 из них перечислены как важные.
- Мы включили всех и каждого в эту статью, а также с прямыми ссылками.
Если вы чувствуете себя немного некомфортно, это потому, что мы уже в июле, и температура начинает медленно строить нас в наших офисах.
Однако пользователи Windows обращаются к Microsoft в надежде, что некоторые из недостатков, с которыми они боролись, наконец будут исправлены.
Мы уже предоставили прямые ссылки для скачивания для накопительных обновлений, выпущенных сегодня для Windows 10 и 11, но теперь пришло время снова поговорить о критических уязвимостях и воздействиях.
В этом месяце технологический гигант из Редмонда выпустил 84 новых патча, что намного больше, чем некоторые ожидали сразу после Пасхи.
Эти обновления программного обеспечения устраняют CVE в:
- Microsoft Windows и компоненты Windows
- Компоненты Windows Azure
- Защитник Майкрософт для конечной точки
- Microsoft Edge (на основе Chromium)
- Офис и офисные компоненты
- Битлокер Windows
- Windows Hyper-V
- Skype для бизнеса и Microsoft Lync
- Программное обеспечение с открытым исходным кодом
- Xbox
Microsoft предоставляет исправления для 84 уязвимостей в июле 2022 г.
Можно с уверенностью сказать, что это был не самый загруженный и не самый легкий месяц для экспертов по безопасности из Редмонда.
Возможно, вам будет интересно узнать, что из 84 выпущенных новых CVE 4 имеют рейтинг Критический, а остальные (80) — важные.
Мы говорим о 52 уязвимостях повышения привилегий, 4 уязвимостях обхода функций безопасности, 12 уязвимости удаленного выполнения кода, 11 уязвимостей раскрытия информации и 5 отказов в обслуживании уязвимости
| CVE | Заголовок | Строгость | CVSS | Общественный | Эксплуатируемый | Тип |
| CVE-2022-22047 | Уязвимость Windows CSRSS, связанная с несанкционированным получением прав | Важный | 7.8 | Нет | Да | окончание срока действия |
| CVE-2022-22038 | Уязвимость среды выполнения удаленного вызова процедур для удаленного выполнения кода | Критический | 8.1 | Нет | Нет | РЦЭ |
| CVE-2022-30221 | Уязвимость графического компонента Windows, связанная с удаленным выполнением кода | Критический | 8.8 | Нет | Нет | РЦЭ |
| CVE-2022-22029 | Уязвимость сетевой файловой системы Windows, связанная с удаленным выполнением кода | Критический | 8.1 | Нет | Нет | РЦЭ |
| CVE-2022-22039 | Уязвимость сетевой файловой системы Windows, связанная с удаленным выполнением кода | Критический | 7.5 | Нет | Нет | РЦЭ |
| CVE-2022-30215 | Уязвимость служб федерации Active Directory, связанная с повышением привилегий | Важный | 7.5 | Нет | Нет | окончание срока действия |
| CVE-2022-23816 * | AMD: CVE-2022-23816 Путаница с типом ветки процессора AMD | Важный | Н/Д | Нет | Нет | Информация |
| CVE-2022-23825 * | AMD: CVE-2022-23825 Путаница с типом ветки процессора AMD | Важный | Н/Д | Нет | Нет | Информация |
| CVE-2022-30181 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33641 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33642 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33643 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33650 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33651 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33652 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.4 | Нет | Нет | окончание срока действия |
| CVE-2022-33653 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33654 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33655 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33656 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33657 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33658 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.4 | Нет | Нет | окончание срока действия |
| CVE-2022-33659 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33660 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33661 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33662 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33663 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33664 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33665 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33666 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33667 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33668 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33669 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33671 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 4.9 | Нет | Нет | окончание срока действия |
| CVE-2022-33672 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33673 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 6.5 | Нет | Нет | окончание срока действия |
| CVE-2022-33674 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 8.3 | Нет | Нет | окончание срока действия |
| CVE-2022-33675 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-33677 | Уязвимость Azure Site Recovery, связанная с повышением привилегий | Важный | 7.2 | Нет | Нет | окончание срока действия |
| CVE-2022-33676 | Уязвимость Azure Site Recovery, связанная с удаленным выполнением кода | Важный | 7.2 | Нет | Нет | РЦЭ |
| CVE-2022-33678 | Уязвимость Azure Site Recovery, связанная с удаленным выполнением кода | Важный | 7.2 | Нет | Нет | РЦЭ |
| CVE-2022-30187 | Уязвимость раскрытия информации в библиотеке хранилища Azure | Важный | 4.7 | Нет | Нет | Информация |
| CVE-2022-22048 | Функция безопасности BitLocker позволяет обойти уязвимость | Важный | 6.1 | Нет | Нет | СФБ |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Недостаточно защищенные учетные данные могут привести к утечке данных аутентификации или заголовка файла cookie. | Важный | Н/Д | Нет | Нет | Информация |
| CVE-2022-22040 | Уязвимость отказа в обслуживании модуля динамического сжатия информационных служб Интернета | Важный | 7.3 | Нет | Нет | DoS |
| CVE-2022-33637 | Microsoft Defender для защиты от подделки конечных точек | Важный | 6.5 | Нет | Нет | Фальсификация |
| CVE-2022-33632 | Функция обхода уязвимости Microsoft Office Security | Важный | 4.7 | Нет | Нет | СФБ |
| CVE-2022-22036 | Счетчики производительности для уязвимости Windows, связанной с повышением привилегий | Важный | 7 | Нет | Нет | окончание срока действия |
| CVE-2022-33633 | Уязвимость Skype для бизнеса и Lync, связанная с удаленным выполнением кода | Важный | 7.2 | Нет | Нет | РЦЭ |
| CVE-2022-22037 | Уязвимость расширенного локального вызова процедур Windows, связанная с повышением привилегий | Важный | 7.5 | Нет | Нет | окончание срока действия |
| CVE-2022-30202 | Уязвимость расширенного локального вызова процедур Windows, связанная с повышением привилегий | Важный | 7 | Нет | Нет | окончание срока действия |
| CVE-2022-30224 | Уязвимость расширенного локального вызова процедур Windows, связанная с повышением привилегий | Важный | 7 | Нет | Нет | окончание срока действия |
| CVE-2022-22711 | Уязвимость Windows BitLocker, связанная с раскрытием информации | Важный | 6.7 | Нет | Нет | Информация |
| CVE-2022-30203 | Функция обхода уязвимости диспетчера загрузки Windows | Важный | 7.4 | Нет | Нет | СФБ |
| CVE-2022-30220 | Уязвимость драйвера файловой системы общего журнала Windows, связанная с повышением привилегий | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-30212 | Уязвимость раскрытия информации службы платформы подключенных устройств Windows | Важный | 4.7 | Нет | Нет | Информация |
| CVE-2022-22031 | Уязвимость Windows Credential Guard, связанная с несанкционированным доступом к домену, связанная с повышением привилегий | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-22026 | Уязвимость Windows CSRSS, связанная с несанкционированным получением прав | Важный | 8.8 | Нет | Нет | окончание срока действия |
| CVE-2022-22049 | Уязвимость Windows CSRSS, связанная с несанкционированным получением прав | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-30214 | Уязвимость удаленного выполнения кода DNS-сервера Windows | Важный | 6.6 | Нет | Нет | РЦЭ |
| CVE-2022-22043 | Уязвимость драйвера быстрой файловой системы FAT Windows, делающая возможным несанкционированное получение прав | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-22050 | Уязвимость службы факсов Windows, связанная с повышением привилегий | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-22024 | Уязвимость удаленного выполнения кода службы факсов Windows | Важный | 7.8 | Нет | Нет | РЦЭ |
| CVE-2022-22027 | Уязвимость удаленного выполнения кода службы факсов Windows | Важный | 7.8 | Нет | Нет | РЦЭ |
| CVE-2022-30213 | Уязвимость Windows GDI+, связанная с раскрытием информации | Важный | 5.5 | Нет | Нет | Информация |
| CVE-2022-22034 | Уязвимость графического компонента Windows, связанная с несанкционированным получением прав | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-30205 | Уязвимость групповой политики Windows, связанная с повышением привилегий | Важный | 6.6 | Нет | Нет | окончание срока действия |
| CVE-2022-22042 | Уязвимость раскрытия информации Windows Hyper-V | Важный | 6.5 | Нет | Нет | Информация |
| CVE-2022-30223 | Уязвимость раскрытия информации Windows Hyper-V | Важный | 5.7 | Нет | Нет | Информация |
| CVE-2022-30209 | Уязвимость Windows IIS Server, связанная с несанкционированным получением прав | Важный | 7.4 | Нет | Нет | окончание срока действия |
| CVE-2022-22025 | Уязвимость модуля Windows Internet Information Services Cachuri, связанная с отказом в обслуживании | Важный | 7.5 | Нет | Нет | DoS |
| CVE-2022-21845 | Уязвимость ядра Windows, связанная с раскрытием информации | Важный | 4.7 | Нет | Нет | Информация |
| CVE-2022-30211 | Уязвимость Windows Layer 2 Tunneling Protocol (L2TP), связанная с удаленным выполнением кода | Важный | 7.5 | Нет | Нет | РЦЭ |
| CVE-2022-30225 | Служба общего доступа к проигрывателю Windows Media, связанная с повышением привилегий | Важный | 7.1 | Нет | Нет | окончание срока действия |
| CVE-2022-22028 | Уязвимость раскрытия информации о сетевой файловой системе Windows | Важный | 5.9 | Нет | Нет | Информация |
| CVE-2022-22023 | Функция безопасности обхода уязвимости службы перечислителя портативных устройств Windows | Важный | 6.6 | Нет | Нет | СФБ |
| CVE-2022-22022 | Уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав | Важный | 7.1 | Нет | Нет | окончание срока действия |
| CVE-2022-22041 | Уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав | Важный | 6.8 | Нет | Нет | окончание срока действия |
| CVE-2022-30206 | Уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-30226 | Уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав | Важный | 7.1 | Нет | Нет | окончание срока действия |
| CVE-2022-30208 | Уязвимость диспетчера учетных записей безопасности Windows (SAM), связанная с отказом в обслуживании | Важный | 6.5 | Нет | Нет | DoS |
| CVE-2022-30216 | Уязвимость подделки службы Windows Server | Важный | 8.8 | Нет | Нет | Фальсификация |
| CVE-2022-30222 | Уязвимость оболочки Windows, связанная с удаленным выполнением кода | Важный | 8.4 | Нет | Нет | РЦЭ |
| CVE-2022-22045 | Окна. Устройства. Picker.dll, связанный с несанкционированным получением прав | Важный | 7.8 | Нет | Нет | окончание срока действия |
| CVE-2022-33644 | Уязвимость службы сохранения Xbox Live, связанная с повышением привилегий | Важный | 7 | Нет | Нет | окончание срока действия |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Переполнение буфера кучи в WebRTC | Высокая | Н/Д | Нет | Да | РЦЭ |
| CVE-2022-2295 * | Chromium: путаница типов CVE-2022-2295 в V8 | Высокая | Н/Д | Нет | Нет | РЦЭ |
Вы должны иметь в виду, что обновления вторника исправлений в этом месяце исправляют активно эксплуатируемую уязвимость нулевого дня повышения привилегий.
Компания классифицировала уязвимость как нулевой день, если она была публично раскрыта или активно использовалась без официального исправления.
Чтобы быть более ясным, исправленная сегодня активно эксплуатируемая уязвимость нулевого дня отслеживается как CVE-2022-22047 — уязвимость Windows CSRSS, связанная с повышением привилегий.
Используя его, злоумышленник может фактически получить привилегии SYSTEM, как советовали эксперты по безопасности Microsoft в этом последнем выпуске.
Кроме того, что не менее важно, помните, что в выпуске этого месяца есть три исправления ошибок отказа в обслуживании (DoS), и все они имеют большое значение.
И из 52 исправлений ошибок EoP 30 из них касаются ошибок Azure Site Recovery, одна из них предположительно подвергается активной атаке.
Забегая вперед, следующее обновление безопасности «Вторник исправлений» будет выпущено 9 августа, что немного раньше, чем некоторые ожидали.
Обнаружили ли вы какие-либо другие проблемы после установки обновлений безопасности этого месяца? Поделитесь своим мнением в разделе комментариев ниже.
