- Dosť rušný mesiac na vydanie Microsoft Patch Tuesday so 74 CVE.
- Zo všetkých CVE10 má hodnotenie kritické, 66 dôležitých a 1 hodnotenie ako nízke.
- Všetkých sme zahrnuli do tohto článku aj s priamymi odkazmi.
Už je máj a všetci sa pozerajú na Microsoft v nádeji, že niektoré z nedostatkov, s ktorými zápasili, budú konečne opravené.
Už sme poskytli priame odkazy na stiahnutie pre kumulatívne aktualizácie vydané dnes pre Windows 10 a 11, ale teraz je čas opäť hovoriť o kritických zraniteľnostiach a ohrozeniach.
Tento mesiac vydal technický gigant z Redmondu 74 nových záplat, čo je oveľa viac, ako niektorí ľudia tesne po Veľkej noci očakávali.
Tieto aktualizácie softvéru sa týkajú CVE v:
- Microsoft Windows a Windows komponenty
- .NET a Visual Studio
- Microsoft Edge (založené na prehliadači Chromium)
- Microsoft Exchange Server
- Kancelárske a kancelárske komponenty
- Windows Hyper-V
- Metódy overovania systému Windows
- BitLocker
- Windows Cluster Shared Volume (CSV)
- Klient vzdialenej plochy
- Sieťový súborový systém Windows
- NTFS
- Windows Point-to-Point Tunneling Protocol
Tento mesiac bolo identifikovaných a vyriešených 74 CVE
Nie je to najrušnejší, ale ani najľahší mesiac pre bezpečnostných expertov spoločnosti Microsoft. Možno by ste chceli vedieť, že zo 74 nových vydaných CVE je 7 hodnotených ako kritických, 66 je hodnotených ako dôležité a jedna je hodnotená ako nízka z hľadiska závažnosti
| CVE | Názov | Závažnosť | CVSS | Verejné | Využité | Typ |
| CVE-2022-26925 | Chyba zabezpečenia Windows LSA spoofing | Dôležité | 8.1 | Áno | Áno | Spoofing |
| CVE-2022-29972 | Softvér Insight: CVE-2022-29972 Magnitude Simba ovládač Amazon Redshift ODBC | Kritické | N/A | Áno | nie | RCE |
| CVE-2022-22713 | Zraniteľnosť Windows Hyper-V Denial of Service | Dôležité | 5.6 | Áno | nie | DoS |
| CVE-2022-26923 | Zraniteľnosť zvýšenia úrovne privilégií doménových služieb Active Directory | Kritické | 8.8 | nie | nie | EoP |
| CVE-2022-21972 | Chyba zabezpečenia vzdialeného spustenia kódu protokolu Point-to-Point Tunneling Protocol | Kritické | 8.1 | nie | nie | RCE |
| CVE-2022-23270 | Chyba zabezpečenia vzdialeného spustenia kódu protokolu Point-to-Point Tunneling Protocol | Kritické | 8.1 | nie | nie | RCE |
| CVE-2022-22017 | Klient vzdialenej pracovnej plochy Chyba pri spúšťaní vzdialeného kódu | Kritické | 8.8 | nie | nie | RCE |
| CVE-2022-26931 | Chyba zabezpečenia zvýšenia úrovne oprávnení systému Windows Kerberos | Kritické | 7.5 | nie | nie | EoP |
| CVE-2022-26937 | Chyba zabezpečenia vzdialeného spustenia kódu v sieťovom súborovom systéme Windows | Kritické | 9.8 | nie | nie | RCE |
| CVE-2022-23267 | Zraniteľnosť .NET a Visual Studio Denial of Service | Dôležité | 7.5 | nie | nie | DoS |
| CVE-2022-29117 | Zraniteľnosť .NET a Visual Studio Denial of Service | Dôležité | 7.5 | nie | nie | DoS |
| CVE-2022-29145 | Zraniteľnosť .NET a Visual Studio Denial of Service | Dôležité | 7.5 | nie | nie | DoS |
| CVE-2022-29127 | Bezpečnostná funkcia BitLocker obchádza chybu zabezpečenia | Dôležité | 4.2 | nie | nie | SFB |
| CVE-2022-29109 | Chyba zabezpečenia vzdialeného spustenia kódu programu Microsoft Excel | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-29110 | Chyba zabezpečenia vzdialeného spustenia kódu programu Microsoft Excel | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-21978 | Chyba zabezpečenia zvýšenia úrovne oprávnení servera Microsoft Exchange | Dôležité | 8.2 | nie | nie | EoP |
| CVE-2022-29107 | Funkcia zabezpečenia balíka Microsoft Office obchádza chybu zabezpečenia | Dôležité | 5.5 | nie | nie | SFB |
| CVE-2022-29108 | Chyba zabezpečenia vzdialeného spustenia kódu servera Microsoft SharePoint | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29105 | Chyba zabezpečenia vzdialeného spustenia kódu Microsoft Windows Media Foundation | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-26940 | Chyba zabezpečenia pri sprístupnení informácií klienta protokolu vzdialenej pracovnej plochy | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-22019 | Vzdialené volanie procedúry Chyba zabezpečenia vzdialeného spustenia kódu | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-26932 | Chyba zabezpečenia priameho zvýšenia oprávnenia úložných priestorov | Dôležité | 8.2 | nie | nie | EoP |
| CVE-2022-26938 | Chyba zabezpečenia priameho zvýšenia oprávnenia úložných priestorov | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-26939 | Chyba zabezpečenia priameho zvýšenia oprávnenia úložných priestorov | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29126 | Tablet Windows Používateľské rozhranie aplikácie Core Zvýšenie zraniteľnosti privilégií | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-30129 | Chyba zabezpečenia vzdialeného spustenia kódu Visual Studio | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29148 | Chyba zabezpečenia vzdialeného spustenia kódu Visual Studio | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-26926 | Chyba zabezpečenia vzdialeného spustenia kódu v adresári systému Windows | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-23279 | Zraniteľnosť zvýšenia oprávnenia systému Windows ALPC | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-26913 | Funkcia zabezpečenia autentifikácie systému Windows obchádza chybu zabezpečenia | Dôležité | 7.4 | nie | nie | SFB |
| CVE-2022-29135 | Chyba zabezpečenia zvýšenia úrovne privilégií zdieľaného zväzku klastra Windows (CSV). | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29150 | Chyba zabezpečenia zvýšenia úrovne privilégií zdieľaného zväzku klastra Windows (CSV). | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29151 | Chyba zabezpečenia zvýšenia úrovne privilégií zdieľaného zväzku klastra Windows (CSV). | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29138 | Windows Clustered Shared Volume Elevation of Privilege | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29120 | Chyba zabezpečenia sprístupnenia informácií zdieľaného zväzku v systéme Windows | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-29122 | Chyba zabezpečenia sprístupnenia informácií zdieľaného zväzku v systéme Windows | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-29123 | Chyba zabezpečenia sprístupnenia informácií zdieľaného zväzku v systéme Windows | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-29134 | Chyba zabezpečenia sprístupnenia informácií zdieľaného zväzku v systéme Windows | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-29113 | Chyba zabezpečenia zvýšenia úrovne oprávnenia prijímača digitálnych médií systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-29102 | Chyba zabezpečenia pri sprístupnení informácií klastra pri zlyhaní systému Windows | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-29115 | Chyba zabezpečenia vzdialeného spustenia kódu služby Windows Fax Service | Dôležité | 7.8 | nie | nie | RCE |
| CVE-2022-22011 | Chyba zabezpečenia pri sprístupnení informácií grafického komponentu systému Windows | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-26934 | Chyba zabezpečenia pri sprístupnení informácií grafického komponentu systému Windows | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-29112 | Chyba zabezpečenia pri sprístupnení informácií grafického komponentu systému Windows | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-26927 | Chyba zabezpečenia vzdialeného spustenia kódu grafického komponentu systému Windows | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-24466 | Funkcia zabezpečenia systému Windows Hyper-V obchádza chybu zabezpečenia | Dôležité | 4.1 | nie | nie | SFB |
| CVE-2022-29106 | Chyba zabezpečenia zvýšenia úrovne privilégií zdieľaného virtuálneho disku Windowsu Hyper-V | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29133 | Chyba zabezpečenia zvýšenia úrovne privilégií jadra systému Windows | Dôležité | 8.8 | nie | nie | EoP |
| CVE-2022-29142 | Chyba zabezpečenia zvýšenia úrovne privilégií jadra systému Windows | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29116 | Chyba zabezpečenia pri sprístupnení informácií jadra systému Windows | Dôležité | 4.7 | nie | nie | Info |
| CVE-2022-22012 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 9.8 | nie | nie | RCE |
| CVE-2022-22013 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-22014 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29128 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29129 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29130 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 9.8 | nie | nie | RCE |
| CVE-2022-29131 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29137 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29139 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-29141 | Chyba zabezpečenia vzdialeného spustenia kódu Windows LDAP | Dôležité | 8.8 | nie | nie | RCE |
| CVE-2022-26933 | Chyba zabezpečenia sprístupnenia informácií systému Windows NTFS | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-22016 | Chyba zabezpečenia zvýšenia úrovne oprávnení systému Windows PlayToManager | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29104 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-29132 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-29114 | Chyba zabezpečenia pri sprístupnení informácií zaraďovača tlače systému Windows | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-29140 | Chyba zabezpečenia pri sprístupnení informácií zaraďovača tlače systému Windows | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-29125 | Windows Push Notifications Aplikácie Zraniteľnosť zvýšenia úrovne oprávnení | Dôležité | 7 | nie | nie | EoP |
| CVE-2022-29103 | Zraniteľnosť zvýšenia úrovne oprávnenia správcu pripojenia vzdialeného prístupu systému Windows | Dôležité | 7.8 | nie | nie | EoP |
| CVE-2022-26930 | Chyba zabezpečenia pri sprístupnení informácií správcu pripojenia vzdialeného prístupu systému Windows | Dôležité | 5.5 | nie | nie | Info |
| CVE-2022-22015 | Chyba zabezpečenia pri sprístupnení informácií protokolu RDP (Windows Remote Desktop Protocol). | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-26936 | Chyba zabezpečenia v sprístupnení informácií služby Windows Server | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-29121 | Chyba zabezpečenia služby Windows WLAN AutoConfig odmietnutia služby | Dôležité | 6.5 | nie | nie | DoS |
| CVE-2022-26935 | Chyba zabezpečenia pri sprístupnení informácií služby Windows WLAN AutoConfig | Dôležité | 6.5 | nie | nie | Info |
| CVE-2022-30130 | Chyba zabezpečenia .NET Framework Denial of Service | Nízka | 3.3 | nie | nie | DoS |
Zo všetkých záplat s kritickým hodnotením sú dve, ktoré ovplyvňujú implementáciu protokolu PPTP (Point-to-Point Tunneling Protocol) systému Windows, ktorý by mohol umožniť RCE.
Technologický gigant uviedol, že útočník bude musieť vyhrať súťažné podmienky, aby úspešne využil tieto chyby, ale nie všetky podmienky pretekov sú rovnaké.
V Microsoft Kerberos sa tiež nachádza chyba Elevation of Privilege (EoP) s kritickým hodnotením, ale momentálne nie sú poskytnuté žiadne ďalšie informácie.
Najbližšie vydanie Patch Tuesday bude 10. mája, takže sa príliš netrápte súčasným stavom vecí, pretože sa môže zmeniť skôr, ako si myslíte.
Bol pre vás tento článok užitočný? Podeľte sa o svoj názor v sekcii komentárov nižšie.
