- Na júl 2022 spoločnosť Microsoft vydala dlhý zoznam 84 nové bezpečnostné aktualizácie.
- Zo všetkých CVE5 je kritických a 80 z nich je uvedených ako dôležitých.
- Všetkých sme zahrnuli do tohto článku aj s priamymi odkazmi
Ak sa cítite trochu nepríjemne, je to preto, že sme už v júli a teploty nám v našich kanceláriách začínajú pomaly stúpať.
Používatelia Windowsu sa však pozerajú na Microsoft v nádeji, že niektoré z nedostatkov, s ktorými zápasili, budú konečne opravené.
Už sme poskytli priame odkazy na stiahnutie pre kumulatívne aktualizácie vydané dnes pre Windows 10 a 11, ale teraz je čas opäť hovoriť o kritických zraniteľnostiach a ohrozeniach.
Tento mesiac vydal technický gigant z Redmondu 84 nových záplat, čo je oveľa viac, ako niektorí ľudia tesne po Veľkej noci očakávali.
Tieto aktualizácie softvéru sa týkajú CVE v:
- Microsoft Windows a Windows komponenty
- Komponenty Windows Azure
- Microsoft Defender pre koncový bod
- Microsoft Edge (založené na prehliadači Chromium)
- Kancelárske a kancelárske komponenty
- Windows BitLocker
- Windows Hyper-V
- Skype for Business a Microsoft Lync
- Softvér s otvoreným zdrojom
- Xbox
Spoločnosť Microsoft poskytuje opravy 84 chýb v júli 2022
Dá sa s istotou povedať, že to nebol ani najrušnejší, ani najľahší mesiac pre bezpečnostných expertov z Redmondu.
Možno by vás zaujímalo, že z 84 nových vydaných CVE sú 4 hodnotené ako kritické a ostatné (80) sú hodnotené ako dôležité.
Hovoríme o 52 zvýšeniach zraniteľností privilégií, 4 obchádzaní bezpečnostných funkcií, 12 chyby zabezpečenia vzdialeného spustenia kódu, 11 chýb pri sprístupnení informácií a 5 odmietnutí služby zraniteľnosti
| CVE | Názov | Závažnosť | CVSS | Verejné | Využité | Typ |
| CVE-2022-22047 | Chyba zabezpečenia zvýšenia úrovne oprávnení systému Windows CSRSS | Dôležité | 7.8 | Nie | Áno | EoP |
| CVE-2022-22038 | Vzdialené volanie procedúry Chyba zabezpečenia vzdialeného spustenia kódu | Kritické | 8.1 | Nie | Nie | RCE |
| CVE-2022-30221 | Chyba zabezpečenia vzdialeného spustenia kódu grafického komponentu systému Windows | Kritické | 8.8 | Nie | Nie | RCE |
| CVE-2022-22029 | Chyba zabezpečenia vzdialeného spustenia kódu v sieťovom súborovom systéme Windows | Kritické | 8.1 | Nie | Nie | RCE |
| CVE-2022-22039 | Chyba zabezpečenia vzdialeného spustenia kódu v sieťovom súborovom systéme Windows | Kritické | 7.5 | Nie | Nie | RCE |
| CVE-2022-30215 | Zraniteľnosť zvýšenia úrovne privilégií služby Active Directory Federation Services | Dôležité | 7.5 | Nie | Nie | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 Zmätok typu vetvy CPU AMD | Dôležité | N/A | Nie | Nie | Info |
| CVE-2022-23825 * | AMD: CVE-2022-23825 Zmätok typu vetvy CPU AMD | Dôležité | N/A | Nie | Nie | Info |
| CVE-2022-30181 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33641 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33642 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33643 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33650 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33651 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33652 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.4 | Nie | Nie | EoP |
| CVE-2022-33653 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33654 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33655 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33656 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33657 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33658 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.4 | Nie | Nie | EoP |
| CVE-2022-33659 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33660 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33661 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33662 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33663 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33664 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33665 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33666 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33667 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33668 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33669 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33671 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 4.9 | Nie | Nie | EoP |
| CVE-2022-33672 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33673 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 6.5 | Nie | Nie | EoP |
| CVE-2022-33674 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 8.3 | Nie | Nie | EoP |
| CVE-2022-33675 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-33677 | Zraniteľnosť zvýšenia úrovne privilégií obnovy lokality Azure | Dôležité | 7.2 | Nie | Nie | EoP |
| CVE-2022-33676 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | Nie | Nie | RCE |
| CVE-2022-33678 | Chyba zabezpečenia vzdialeného spustenia kódu Azure Site Recovery | Dôležité | 7.2 | Nie | Nie | RCE |
| CVE-2022-30187 | Chyba zabezpečenia sprístupnenia informácií knižnice Azure Storage | Dôležité | 4.7 | Nie | Nie | Info |
| CVE-2022-22048 | Bezpečnostná funkcia BitLocker obchádza chybu zabezpečenia | Dôležité | 6.1 | Nie | Nie | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Zraniteľnosť s nedostatočne chránenými povereniami môže uniknúť autentifikácii alebo údajom hlavičky súborov cookie | Dôležité | N/A | Nie | Nie | Info |
| CVE-2022-22040 | Internetové informačné služby Modul dynamickej kompresie Denial of Service Vulnerability | Dôležité | 7.3 | Nie | Nie | DoS |
| CVE-2022-33637 | Microsoft Defender pre chybu zabezpečenia proti neoprávnenej manipulácii s koncovým bodom | Dôležité | 6.5 | Nie | Nie | Manipulácia |
| CVE-2022-33632 | Funkcia zabezpečenia balíka Microsoft Office obchádza chybu zabezpečenia | Dôležité | 4.7 | Nie | Nie | SFB |
| CVE-2022-22036 | Počítadlá výkonu pre chybu zabezpečenia zvýšenia oprávnenia systému Windows | Dôležité | 7 | Nie | Nie | EoP |
| CVE-2022-33633 | Chyba zabezpečenia aplikácií Skype for Business a vzdialeného spustenia kódu Lync | Dôležité | 7.2 | Nie | Nie | RCE |
| CVE-2022-22037 | Chyba zabezpečenia zvýšenia oprávnenia volania rozšírenej lokálnej procedúry systému Windows | Dôležité | 7.5 | Nie | Nie | EoP |
| CVE-2022-30202 | Chyba zabezpečenia zvýšenia oprávnenia volania rozšírenej lokálnej procedúry systému Windows | Dôležité | 7 | Nie | Nie | EoP |
| CVE-2022-30224 | Chyba zabezpečenia zvýšenia oprávnenia volania rozšírenej lokálnej procedúry systému Windows | Dôležité | 7 | Nie | Nie | EoP |
| CVE-2022-22711 | Chyba zabezpečenia v sprístupnení informácií nástroja Windows BitLocker | Dôležité | 6.7 | Nie | Nie | Info |
| CVE-2022-30203 | Bezpečnostná funkcia správcu zavádzania systému Windows obchádza chybu zabezpečenia | Dôležité | 7.4 | Nie | Nie | SFB |
| CVE-2022-30220 | Chyba zabezpečenia zvýšenia úrovne oprávnenia ovládača systému Windows Common Log File System | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-30212 | Chyba zabezpečenia pri sprístupnení informácií platformy Windows Connected Devices | Dôležité | 4.7 | Nie | Nie | Info |
| CVE-2022-22031 | Chyba zabezpečenia zvýšenia úrovne privilégií verejného kľúča k doméne Windows Credential Guard | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-22026 | Chyba zabezpečenia zvýšenia úrovne oprávnení systému Windows CSRSS | Dôležité | 8.8 | Nie | Nie | EoP |
| CVE-2022-22049 | Chyba zabezpečenia zvýšenia úrovne oprávnení systému Windows CSRSS | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-30214 | Chyba zabezpečenia vzdialeného spustenia kódu servera Windows DNS | Dôležité | 6.6 | Nie | Nie | RCE |
| CVE-2022-22043 | Zraniteľnosť zvýšenia úrovne oprávnenia ovládača rýchleho systému súborov FAT systému Windows | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-22050 | Zraniteľnosť zvýšenia úrovne oprávnení služby Windows Fax | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-22024 | Chyba zabezpečenia vzdialeného spustenia kódu služby Windows Fax Service | Dôležité | 7.8 | Nie | Nie | RCE |
| CVE-2022-22027 | Chyba zabezpečenia vzdialeného spustenia kódu služby Windows Fax Service | Dôležité | 7.8 | Nie | Nie | RCE |
| CVE-2022-30213 | Chyba zabezpečenia systému Windows GDI+ v oblasti sprístupnenia informácií | Dôležité | 5.5 | Nie | Nie | Info |
| CVE-2022-22034 | Chyba zabezpečenia zvýšenia oprávnenia grafického komponentu systému Windows | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-30205 | Zvýšenie zraniteľnosti skupinovej politiky systému Windows | Dôležité | 6.6 | Nie | Nie | EoP |
| CVE-2022-22042 | Chyba zabezpečenia systému Windows Hyper-V v oblasti sprístupnenia informácií | Dôležité | 6.5 | Nie | Nie | Info |
| CVE-2022-30223 | Chyba zabezpečenia systému Windows Hyper-V v oblasti sprístupnenia informácií | Dôležité | 5.7 | Nie | Nie | Info |
| CVE-2022-30209 | Chyba zabezpečenia zvýšenia oprávnenia servera Windows IIS | Dôležité | 7.4 | Nie | Nie | EoP |
| CVE-2022-22025 | Internetové informačné služby systému Windows Chyba zabezpečenia modulu Cachuri Denial of Service | Dôležité | 7.5 | Nie | Nie | DoS |
| CVE-2022-21845 | Chyba zabezpečenia pri sprístupnení informácií jadra systému Windows | Dôležité | 4.7 | Nie | Nie | Info |
| CVE-2022-30211 | Chyba zabezpečenia vzdialeného spustenia kódu Windows Layer 2 Tunneling Protocol (L2TP). | Dôležité | 7.5 | Nie | Nie | RCE |
| CVE-2022-30225 | Zvýšenie zraniteľnosti služby zdieľania siete pre prehrávač Windows Media Player | Dôležité | 7.1 | Nie | Nie | EoP |
| CVE-2022-22028 | Chyba zabezpečenia odhaľovania informácií o sieťovom súborovom systéme Windows | Dôležité | 5.9 | Nie | Nie | Info |
| CVE-2022-22023 | Funkcia zabezpečenia služby Windows Portable Device Enumerator obchádza chybu zabezpečenia | Dôležité | 6.6 | Nie | Nie | SFB |
| CVE-2022-22022 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 7.1 | Nie | Nie | EoP |
| CVE-2022-22041 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 6.8 | Nie | Nie | EoP |
| CVE-2022-30206 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-30226 | Chyba zabezpečenia zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows | Dôležité | 7.1 | Nie | Nie | EoP |
| CVE-2022-30208 | Zraniteľnosť odmietnutia služby Windows Security Account Manager (SAM). | Dôležité | 6.5 | Nie | Nie | DoS |
| CVE-2022-30216 | Chyba zabezpečenia narušenia služby Windows Server Service | Dôležité | 8.8 | Nie | Nie | Manipulácia |
| CVE-2022-30222 | Chyba zabezpečenia vzdialeného spustenia kódu Windows Shell | Dôležité | 8.4 | Nie | Nie | RCE |
| CVE-2022-22045 | Windows. Zariadenia. Picker.dll Zvýšenie zraniteľnosti oprávnení | Dôležité | 7.8 | Nie | Nie | EoP |
| CVE-2022-33644 | Zraniteľnosť zvýšenia úrovne privilégií služby Xbox Live Save | Dôležité | 7 | Nie | Nie | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Pretečenie vyrovnávacej pamäte haldy vo WebRTC | Vysoká | N/A | Nie | Áno | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Type Confusion vo V8 | Vysoká | N/A | Nie | Nie | RCE |
Mali by ste mať na pamäti, že aktualizácie Patch Tuesday z tohto mesiaca opravujú aktívne využívanú zraniteľnosť nultého dňa zvýšenia oprávnení.
Spoločnosť klasifikovala zraniteľnosť ako zero-day, ak je verejne zverejnená alebo aktívne využívaná bez oficiálnej opravy.
Aby bolo jasnejšie, aktívne využívaná zraniteľnosť zero-day, ktorá bola dnes opravená, je sledovaná ako CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerability.
Jeho zneužitím by škodlivá tretia strana mohla skutočne získať SYSTÉMOVÉ privilégiá, ako to v tomto nedávnom vydaní radili odborníci na bezpečnosť spoločnosti Microsoft.
Rovnako dôležité je tiež pamätať na to, že vo vydaní tohto mesiaca sú tri opravy chýb odmietnutia služby (DoS), pričom všetky majú vplyv.
A z 52 opráv chýb EoP sa 30 z nich týka chýb Azure Site Recovery, pričom jedna z nich je údajne pod aktívnym útokom.
Tešíme sa, že ďalšia bezpečnostná aktualizácia Patch Tuesday bude 9. augusta, čo je o niečo skôr, ako niektorí očakávali.
Našli ste po inštalácii aktualizácií zabezpečenia tento mesiac nejaké ďalšie problémy? Podeľte sa o svoj názor v sekcii komentárov nižšie.
