- Dosť rušný mesiac na vydanie Microsoft Patch Tuesday so 71 CVE.
- Zo všetkých CVE bolo 68 označených ako dôležité a žiadne ako mierne.
- Technologický gigant z Redmondu sa však musel vysporiadať s tromi nepríjemnými kritickými chybami.
- Všetkých sme zahrnuli do tohto článku aj s priamymi odkazmi.
Opäť nastal ten čas v mesiaci a každý sa pozerá na Microsoft v nádeji, že niektoré z nedostatkov, s ktorými zápasili, budú konečne opravené.
Už sme poskytli priame odkazy na stiahnutie pre kumulatívne aktualizácie vydané dnes pre Windows 10 a 11, ale teraz je čas opäť hovoriť o kritických zraniteľnostiach a vystaveniach.
Pokiaľ ide o silu, vydanie tohto mesiaca sa zhoduje s vydaniami reklamného tovaru z predchádzajúcich rokov, ktoré sú zvyčajne okolo 60 – 70 CVE.
Ponorme sa priamo do toho a uvidíme, aké zraniteľnosti sú úplne preč z našich životov, keď sú tieto záplaty aktívne.
Tento mesiac sa riešili tri kritické chyby
Na tretí mesiac roku 2022 Microsoft vydal 71 nových záplat. Ide o doplnok k 21 CVE opraveným Microsoft Edge (založené na prehliadači Chromium) začiatkom tohto mesiaca, čím sa celkový marcový počet zvýšil na 92 CVE.
Takže 71 nových záplat, ktoré sú dnes k dispozícii, rieši CVE v:
- .NET a Visual Studio
- Azure Site Recovery
- Microsoft Defender pre koncový bod
- Microsoft Defender pre IoT
- Microsoft Edge (založené na prehliadači Chromium)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Knižnica kodekov Microsoft Windows
- Maľujte 3D
- Úloha: Windows Hyper-V
- Skype rozšírenie pre Chrome
- Používateľské rozhranie tabletu Windows
- Kód Visual Studio
- Ovládač doplnkových funkcií systému Windows pre WinSock
- Ovládač CD-ROM pre Windows
- Ovládač mini filtra Windows Cloud Files
- Windows COM
- Windows Common Log File System Driver
- Základná knižnica DWM systému Windows
- Sledovanie udalostí systému Windows
- Windows Fastfat Driver
- Služba faxovania a skenovania systému Windows
- Platforma Windows HTML
- Inštalátor systému Windows
- Jadro systému Windows
- Windows Media
- Windows PDEV
- Windows Point-to-Point Tunneling Protocol
- Komponenty zaraďovača tlače systému Windows
- Vzdialená plocha systému Windows
- Rozhranie poskytovateľa podpory zabezpečenia systému Windows
- Windows SMB Server
- Zásobník Windows Update
- Xbox
Dôležité je tiež spomenúť, že zo 71 CVE, ktoré boli dnes vydané, sú tri hodnotené ako kritické a 68 ako dôležité z hľadiska závažnosti.
Podľa odborníkov a niektorých technicky zdatnejších používateľov je počet záplat s kritickým hodnotením opäť čudne nízky vzhľadom na tento počet chýb.
Okrem toho stále nie je isté, či toto nízke percento chýb je len náhoda, alebo či spoločnosť Microsoft vyhodnocuje závažnosť pomocou iného výpočtu ako v minulosti.
| CVE | Názov | Závažnosť | CVSS | Verejné | Využité | Typ |
| CVE-2022-24512 | Chyba zabezpečenia vzdialeného spustenia kódu .NET a Visual Studio | Dôležité | 6.3 | Áno | nie | RCE |
| CVE-2022-21990 | Klient vzdialenej pracovnej plochy Chyba pri spúšťaní vzdialeného kódu | Dôležité | 8.8 | Áno | nie | RCE |
| CVE-2022-24459 | Zraniteľnosť zvýšenia úrovne oprávnení služby Windows Fax and Scan | Dôležité | 7.8 | Áno | nie | EoP |
| CVE-2022-22006 | Chyba zabezpečenia vzdialeného spustenia kódu pre rozšírenia HEVC Video Extensions | Kritické | 7.8 | nie | nie | RCE |
| CVE-2022-23277 | Chyba zabezpečenia vzdialeného spustenia kódu servera Microsoft Exchange | Kritické | 8.8 | nie | nie | RCE |
| CVE-2022-24501 | Chyba zabezpečenia vzdialeného spustenia kódu VP9 Video Extensions | Kritické | 7.8 | nie | nie | RCE |
| CVE-2022-24508 | Chyba zabezpečenia vzdialeného spustenia kódu Windows SMBv3 Client/Server | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager pre Windows Elevation of Privilege Vulnerability | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-24464 | Zraniteľnosť .NET a Visual Studio Denial of Service | Dôležité | 7.5 | nie | nie | DoS |
| CVE-2022-24469 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 8.1 | nie | nie | EoP |
| CVE-2022-24506 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | nie | nie | EoP |
| CVE-2022-24515 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | nie | nie | EoP |
| CVE-2022-24518 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | nie | nie | EoP |
| CVE-2022-24519 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | nie | nie | EoP |
| CVE-2022-24467 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2022-24468 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2022-24470 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2022-24471 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2022-24517 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2022-24520 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2020-8927 * | Chyba zabezpečenia pretečenia vyrovnávacej pamäte knižnice Brotli | Dôležité | 6.5 | nie | nie | N/A |
| CVE-2022-24457 | Chyba zabezpečenia vzdialeného spustenia kódu v rozšíreniach obrázkov HEIF | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-22007 | Chyba zabezpečenia vzdialeného spustenia kódu pre rozšírenia HEVC Video Extensions | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-23301 | Chyba zabezpečenia vzdialeného spustenia kódu pre rozšírenia HEVC Video Extensions | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-24452 | Chyba zabezpečenia vzdialeného spustenia kódu pre rozšírenia HEVC Video Extensions | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-24453 | Chyba zabezpečenia vzdialeného spustenia kódu pre rozšírenia HEVC Video Extensions | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-24456 | Chyba zabezpečenia vzdialeného spustenia kódu pre rozšírenia HEVC Video Extensions | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-21977 | Chyba zabezpečenia zverejňovania informácií Media Foundation | Dôležité | 3.3 | nie | nie | Info |
| CVE-2022-22010 | Chyba zabezpečenia zverejňovania informácií Media Foundation | Dôležité | 4.4 | nie | nie | Info |
| CVE-2022-23278 | Microsoft Defender pre chybu zabezpečenia Endpoint Spoofing | Dôležité | 5.9 | nie | nie | Spoofing |
| CVE-2022-23266 | Microsoft Defender pre IoT Elevation of Privilege Vulnerability | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-23265 | Chyba zabezpečenia programu Microsoft Defender pre vzdialené spustenie kódu IoT | Dôležité | 7.2 | nie | nie | RCE |
| CVE-2022-24463 | Chyba zabezpečenia spoofingu servera Microsoft Exchange | Dôležité | 6.5 | nie | nie | Spoofing |
| CVE-2022-24465 | Portál Microsoft Intune pre funkciu zabezpečenia iOS obchádza chybu zabezpečenia | Dôležité | 3.3 | nie | nie | SFB |
| CVE-2022-24461 | Chyba zabezpečenia vzdialeného spustenia kódu aplikácie Microsoft Office Visio | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-24509 | Chyba zabezpečenia vzdialeného spustenia kódu aplikácie Microsoft Office Visio | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-24510 | Chyba zabezpečenia vzdialeného spustenia kódu aplikácie Microsoft Office Visio | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-24511 | Chyba zabezpečenia proti neoprávnenej manipulácii s programom Microsoft Office Word | Dôležité | 5.5 | nie | nie | Manipulácia |
| CVE-2022-24462 | Funkcia zabezpečenia programu Microsoft Word obchádza chybu zabezpečenia | Dôležité | 5.5 | nie | nie | SFB |
| CVE-2022-23282 | Chyba zabezpečenia spustenia vzdialeného kódu Paint 3D | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-23253 | Zraniteľnosť protokolu odmietnutia služby typu Point-to-Point Tunneling | Dôležité | 6.5 | nie | nie | DoS |
| CVE-2022-23295 | Chyba zabezpečenia vzdialeného spustenia kódu rozšírenia nespracovaných obrázkov | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-23300 | Chyba zabezpečenia vzdialeného spustenia kódu rozšírenia nespracovaných obrázkov | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-23285 | Klient vzdialenej pracovnej plochy Chyba pri spúšťaní vzdialeného kódu | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-24503 | Chyba zabezpečenia pri sprístupnení informácií klienta protokolu vzdialenej pracovnej plochy | Dôležité | 5.4 | nie | nie | Info |
| CVE-2022-24522 | Rozšírenie Skype pre chybu zabezpečenia sprístupnenia informácií prehliadača Chrome | Dôležité | 7.5 | nie | nie | Info |
| CVE-2022-24460 | Zraniteľnosť aplikácie používateľského rozhrania systému Windows tabletu | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-24526 | Chyba zabezpečenia falšovania kódu Visual Studio | Dôležité | 6.1 | nie | nie | Spoofing |
| CVE-2022-24451 | Chyba zabezpečenia vzdialeného spustenia kódu VP9 Video Extensions | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-23283 | Zraniteľnosť zvýšenia oprávnenia systému Windows ALPC | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-23287 | Zraniteľnosť zvýšenia oprávnenia systému Windows ALPC | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-24505 | Zraniteľnosť zvýšenia oprávnenia systému Windows ALPC | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-24507 | Ovládač doplnkovej funkcie systému Windows pre zraniteľnosť zabezpečenia WinSock Elevation of Privilege | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-24455 | Chyba zabezpečenia zvýšenia úrovne privilégií ovládača Windows CD-ROM | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-23286 | Chyba zabezpečenia zvýšenia úrovne oprávnenia ovládača minifiltra Windows Cloud Files | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-23281 | Chyba zabezpečenia pri sprístupnení informácií ovládača systému Windows Common Log File System | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-23288 | Chyba zabezpečenia zvýšenia úrovne privilégií základnej knižnice systému Windows DWM | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-23291 | Chyba zabezpečenia zvýšenia úrovne privilégií základnej knižnice systému Windows DWM | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-23294 | Chyba zabezpečenia vzdialeného spustenia kódu sledovania udalostí systému Windows | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-23293 | Zraniteľnosť zvýšenia úrovne oprávnenia ovládača rýchleho systému súborov FAT systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-24502 | Funkcia zabezpečenia platformy Windows HTML obchádza chybu zabezpečenia | Dôležité | 4.3 | nie | nie | SFB |
| CVE-2022-21975 | Zraniteľnosť Windows Hyper-V Denial of Service | Dôležité | 4.7 | nie | nie | DoS |
| CVE-2022-23290 | Chyba zabezpečenia zvýšenia úrovne privilégií Windows Inking COM | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-23296 | Chyba zabezpečenia zvýšenia úrovne oprávnenia Inštalátora systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-21973 | Chyba zabezpečenia odmietnutia služby aktualizácie Windows Media Center | Dôležité | 5.5 | nie | nie | DoS |
| CVE-2022-23297 | Chyba zabezpečenia pri sprístupnení informácií ovládača datagramového prijímača Windows NT Lan Manager | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-23298 | Chyba zabezpečenia zvýšenia úrovne privilégií jadra operačného systému Windows NT | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-23299 | Chyba zabezpečenia zvýšenia úrovne oprávnení systému Windows PDEV | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-23284 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 7.2 | nie | nie | EoP |
| CVE-2022-24454 | Zvýšenie zraniteľnosti rozhrania poskytovateľa podpory zabezpečenia systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-24525 | Chyba zabezpečenia zvýšenia úrovne privilégií v zásobníku Windows Update | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-0789 | Chromium: Pretečenie vyrovnávacej pamäte haldy v ANGLE | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0797 | Chromium: Neobmedzený prístup k pamäti v Mojo | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0792 | Chromium: Mimo rámec čítania v ANGLE | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0795 | Chromium: Type Confusion in Blink Layout | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0790 | Chromium: Použite po bezplatnej verzii v používateľskom rozhraní Cast | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0796 | Chromium: Použite po voľnom predaji v aplikácii Media | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0791 | Chromium: Použite po bezplatnej verzii vo všeobecnom poli | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0793 | Chromium: Použite po bezplatnej verzii v Zobrazeniach | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0794 | Chromium: Použite po bezplatnej aplikácii WebShare | Vysoká | N/A | nie | nie | RCE |
| CVE-2022-0800 | Chromium: Pretečenie vyrovnávacej pamäte haldy v používateľskom rozhraní Cast | Stredná | N/A | nie | nie | RCE |
| CVE-2022-0807 | Chromium: Nevhodná implementácia v automatickom dopĺňaní | Stredná | N/A | nie | nie | Info |
| CVE-2022-0802 | Chromium: Nevhodná implementácia v režime celej obrazovky | Stredná | N/A | nie | nie | Info |
| CVE-2022-0804 | Chromium: Nevhodná implementácia v režime celej obrazovky | Stredná | N/A | nie | nie | Info |
| CVE-2022-0801 | Chromium: Nevhodná implementácia v analyzátore HTML | Stredná | N/A | nie | nie | Manipulácia |
| CVE-2022-0803 | Chromium: Nevhodná implementácia v časti Povolenia | Stredná | N/A | nie | nie | SFB |
| CVE-2022-0799 | Chromium: Nedostatočné presadzovanie pravidiel v Inštalátore | Stredná | N/A | nie | nie | SFB |
| CVE-2022-0809 | Chromium: Neobmedzený prístup k pamäti vo WebXR | Stredná | N/A | nie | nie | RCE |
| CVE-2022-0805 | Chromium: Použite po bezplatnej aplikácii v prepínači prehliadačov | Stredná | N/A | nie | nie | RCE |
| CVE-2022-0808 | Chromium: Použite po bezplatnej verzii v prostredí Chrome OS | Stredná | N/A | nie | nie | RCE |
| CVE-2022-0798 | Chromium: Použite po bezplatnej verzii v MediaStream | Stredná | N/A | nie | nie | RCE |
Majte na pamäti, že žiadna z chýb nie je uvedená ako aktívne využitie tento mesiac, zatiaľ čo tri sú uvedené ako verejne známe v čase vydania.
Toto sú všetky CVE, ktorým sa venuje tento mesiac vydanie Patch Tuesday. Celkovo to bol dosť silný, ale bezpečný mesiac v porovnaní s predchádzajúcimi situáciami.
Ďalšia dávka softvéru Patch Tuesday príde 12. apríla a všetci sme zvedaví, s čím Microsoft dovtedy príde.
Dúfajme, že sa nebudeme musieť zaoberať kritickými problémami a odteraz to už pôjde hladko.
Bol pre vás tento článok užitočný? Podeľte sa o svoj názor v sekcii komentárov nižšie.
