- สำหรับเดือนกรกฎาคม พ.ศ. 2565 Microsoft ได้เปิดตัวรายการยาว 84 อัปเดตความปลอดภัยใหม่
- จาก CVE ทั้งหมด5 รายการมีความสำคัญ และ 80 รายการมีความสำคัญ
- เราได้รวมทุกคนไว้ในบทความนี้พร้อมลิงก์โดยตรงเช่นกัน
หากคุณรู้สึกอึดอัดเล็กน้อย นั่นเป็นเพราะว่าเราอยู่ในเดือนกรกฎาคมแล้ว และอุณหภูมิก็เริ่มสร้างตัวเราในสำนักงานของเราอย่างช้าๆ
อย่างไรก็ตาม ผู้ใช้ Windows ต่างมองหา Microsoft ด้วยความหวังว่าข้อบกพร่องบางอย่างที่พวกเขาเคยพบเจอจะได้รับการแก้ไขในที่สุด
เราได้จัดเตรียม .แล้ว ลิงค์ดาวน์โหลดโดยตรง สำหรับการอัปเดตสะสมที่เผยแพร่ในวันนี้สำหรับ Windows 10 และ 11 แต่ตอนนี้ ถึงเวลาที่จะพูดถึงช่องโหว่ที่สำคัญและการเปิดเผยอีกครั้ง
ในเดือนนี้ ยักษ์ใหญ่ด้านเทคโนโลยีของ Redmond ได้เปิดตัวแพตช์ใหม่ 84 รายการ ซึ่งมากกว่าที่บางคนคาดไว้มากหลังเทศกาลอีสเตอร์
การอัปเดตซอฟต์แวร์เหล่านี้ระบุ CVE ใน:
- ส่วนประกอบ Microsoft Windows และ Windows
- ส่วนประกอบ Windows Azure
- Microsoft Defender สำหรับปลายทาง
- Microsoft Edge (ที่ใช้โครเมียม)
- ส่วนประกอบสำนักงานและสำนักงาน
- Windows BitLocker
- Windows Hyper-V
- Skype for Business และ Microsoft Lync
- ซอฟต์แวร์โอเพ่นซอร์ส
- Xbox
Microsoft ให้การแก้ไขข้อบกพร่อง 84 รายการในเดือนกรกฎาคม 2022
ค่อนข้างปลอดภัยที่จะบอกว่านี่ไม่ใช่เดือนที่คึกคักที่สุดหรือเบาที่สุดสำหรับผู้เชี่ยวชาญด้านความปลอดภัยในเรดมอนด์
คุณอาจต้องการทราบว่าจาก CVE ใหม่ 84 รายการที่เผยแพร่ 4 รายการได้รับการจัดอันดับที่สำคัญ และส่วนที่เหลือ (80) ได้รับการจัดอันดับว่าสำคัญ
เรากำลังพูดถึงช่องโหว่การยกระดับสิทธิ์ 52 รายการ ช่องโหว่การเลี่ยงผ่านฟีเจอร์ความปลอดภัย 4 รายการ 12 ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล ช่องโหว่การเปิดเผยข้อมูล 11 รายการ และการปฏิเสธบริการ 5 รายการ ช่องโหว่
| CVE | ชื่อ | ความรุนแรง | CVSS | สาธารณะ | เอาเปรียบ | พิมพ์ |
| CVE-2022-22047 | Windows CSRSS Elevation of Privilege Vulnerability | สำคัญ | 7.8 | ไม่ | ใช่ | EoP |
| CVE-2022-22038 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลรันไทม์ของโพรซีเดอร์ระยะไกล | วิกฤต | 8.1 | ไม่ | ไม่ | RCE |
| CVE-2022-30221 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลคอมโพเนนต์กราฟิก Windows | วิกฤต | 8.8 | ไม่ | ไม่ | RCE |
| CVE-2022-22029 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของระบบไฟล์เครือข่าย Windows | วิกฤต | 8.1 | ไม่ | ไม่ | RCE |
| CVE-2022-22039 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของระบบไฟล์เครือข่าย Windows | วิกฤต | 7.5 | ไม่ | ไม่ | RCE |
| CVE-2022-30215 | Active Directory Federation Services ยกระดับช่องโหว่ของสิทธิ์ | สำคัญ | 7.5 | ไม่ | ไม่ | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 ความสับสนประเภทสาขา CPU ของ AMD | สำคัญ | ไม่มี | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-23825 * | AMD: CVE-2022-23825 ความสับสนประเภทสาขา CPU ของ AMD | สำคัญ | ไม่มี | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-30181 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33641 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33642 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33643 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33650 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33651 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33652 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.4 | ไม่ | ไม่ | EoP |
| CVE-2022-33653 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33654 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33655 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33656 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33657 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33658 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.4 | ไม่ | ไม่ | EoP |
| CVE-2022-33659 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33660 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33661 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33662 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33663 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33664 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33665 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33666 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33667 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33668 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33669 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33671 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 4.9 | ไม่ | ไม่ | EoP |
| CVE-2022-33672 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33673 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 6.5 | ไม่ | ไม่ | EoP |
| CVE-2022-33674 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 8.3 | ไม่ | ไม่ | EoP |
| CVE-2022-33675 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-33677 | Azure Site Recovery Elevation of Privilege Vulnerability | สำคัญ | 7.2 | ไม่ | ไม่ | EoP |
| CVE-2022-33676 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Azure Site Recovery | สำคัญ | 7.2 | ไม่ | ไม่ | RCE |
| CVE-2022-33678 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Azure Site Recovery | สำคัญ | 7.2 | ไม่ | ไม่ | RCE |
| CVE-2022-30187 | ช่องโหว่การเปิดเผยข้อมูลของ Azure Storage Library | สำคัญ | 4.7 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-22048 | ช่องโหว่การเลี่ยงผ่านฟีเจอร์ความปลอดภัย BitLocker | สำคัญ | 6.1 | ไม่ | ไม่ | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 ช่องโหว่ของข้อมูลประจำตัวที่มีการป้องกันไม่เพียงพออาจทำให้การรับรองความถูกต้องหรือข้อมูลส่วนหัวของคุกกี้รั่วไหล | สำคัญ | ไม่มี | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-22040 | บริการข้อมูลทางอินเทอร์เน็ตโมดูลการบีบอัดแบบไดนามิกการปฏิเสธช่องโหว่ของบริการ | สำคัญ | 7.3 | ไม่ | ไม่ | DoS |
| CVE-2022-33637 | Microsoft Defender สำหรับช่องโหว่การปลอมแปลงปลายทาง | สำคัญ | 6.5 | ไม่ | ไม่ | งัดแงะ |
| CVE-2022-33632 | ช่องโหว่ข้ามฟีเจอร์ความปลอดภัยของ Microsoft Office | สำคัญ | 4.7 | ไม่ | ไม่ | SFB |
| CVE-2022-22036 | ตัวนับประสิทธิภาพสำหรับ Windows Elevation of Privilege Vulnerability | สำคัญ | 7 | ไม่ | ไม่ | EoP |
| CVE-2022-33633 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Skype for Business และ Lync | สำคัญ | 7.2 | ไม่ | ไม่ | RCE |
| CVE-2022-22037 | Windows Advanced Local Procedure Call ยกระดับช่องโหว่ของสิทธิ์ | สำคัญ | 7.5 | ไม่ | ไม่ | EoP |
| CVE-2022-30202 | Windows Advanced Local Procedure Call ยกระดับช่องโหว่ของสิทธิ์ | สำคัญ | 7 | ไม่ | ไม่ | EoP |
| CVE-2022-30224 | Windows Advanced Local Procedure Call ยกระดับช่องโหว่ของสิทธิ์ | สำคัญ | 7 | ไม่ | ไม่ | EoP |
| CVE-2022-22711 | ช่องโหว่การเปิดเผยข้อมูล Windows BitLocker | สำคัญ | 6.7 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-30203 | ช่องโหว่บายพาสคุณลักษณะด้านความปลอดภัยของ Windows Boot Manager | สำคัญ | 7.4 | ไม่ | ไม่ | SFB |
| CVE-2022-30220 | ไดรเวอร์ระบบไฟล์ล็อกทั่วไปของ Windows ระดับความสูงของช่องโหว่ของสิทธิ์ | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-30212 | ช่องโหว่การเปิดเผยข้อมูลบริการแพลตฟอร์มอุปกรณ์ที่เชื่อมต่อ Windows | สำคัญ | 4.7 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-22031 | Windows Credential Guard ที่เข้าร่วมโดเมน Public Key Elevation of Privilege Vulnerability | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-22026 | Windows CSRSS Elevation of Privilege Vulnerability | สำคัญ | 8.8 | ไม่ | ไม่ | EoP |
| CVE-2022-22049 | Windows CSRSS Elevation of Privilege Vulnerability | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-30214 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของเซิร์ฟเวอร์ Windows DNS | สำคัญ | 6.6 | ไม่ | ไม่ | RCE |
| CVE-2022-22043 | Windows Fast FAT File System ระดับความสูงของช่องโหว่ของสิทธิ์การใช้งาน | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-22050 | Windows Fax Service Elevation ของช่องโหว่ของสิทธิ์การใช้งาน | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-22024 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของบริการโทรสารของ Windows | สำคัญ | 7.8 | ไม่ | ไม่ | RCE |
| CVE-2022-22027 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของบริการโทรสารของ Windows | สำคัญ | 7.8 | ไม่ | ไม่ | RCE |
| CVE-2022-30213 | ช่องโหว่การเปิดเผยข้อมูล Windows GDI+ | สำคัญ | 5.5 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-22034 | การยกระดับคอมโพเนนต์กราฟิกของ Windows ของช่องโหว่ของสิทธิ์การใช้งาน | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-30205 | Windows Group Policy Elevation of Privilege Vulnerability | สำคัญ | 6.6 | ไม่ | ไม่ | EoP |
| CVE-2022-22042 | ช่องโหว่การเปิดเผยข้อมูล Windows Hyper-V | สำคัญ | 6.5 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-30223 | ช่องโหว่การเปิดเผยข้อมูล Windows Hyper-V | สำคัญ | 5.7 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-30209 | Windows IIS Server Elevation of Privilege Vulnerability | สำคัญ | 7.4 | ไม่ | ไม่ | EoP |
| CVE-2022-22025 | Windows Internet Information Services Cachuri Module การปฏิเสธช่องโหว่ของบริการ | สำคัญ | 7.5 | ไม่ | ไม่ | DoS |
| CVE-2022-21845 | ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows | สำคัญ | 4.7 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-30211 | Windows Layer 2 Tunneling Protocol (L2TP) ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล | สำคัญ | 7.5 | ไม่ | ไม่ | RCE |
| CVE-2022-30225 | บริการแชร์เครือข่าย Windows Media Player ยกระดับช่องโหว่ของสิทธิ์ | สำคัญ | 7.1 | ไม่ | ไม่ | EoP |
| CVE-2022-22028 | ช่องโหว่การเปิดเผยข้อมูลระบบไฟล์เครือข่าย Windows | สำคัญ | 5.9 | ไม่ | ไม่ | ข้อมูล |
| CVE-2022-22023 | ช่องโหว่การเลี่ยงผ่านฟีเจอร์ความปลอดภัยของบริการ Windows Portable Device Enumerator | สำคัญ | 6.6 | ไม่ | ไม่ | SFB |
| CVE-2022-22022 | Windows Print Spooler Elevation of Privilege Vulnerability | สำคัญ | 7.1 | ไม่ | ไม่ | EoP |
| CVE-2022-22041 | Windows Print Spooler Elevation of Privilege Vulnerability | สำคัญ | 6.8 | ไม่ | ไม่ | EoP |
| CVE-2022-30206 | Windows Print Spooler Elevation of Privilege Vulnerability | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-30226 | Windows Print Spooler Elevation of Privilege Vulnerability | สำคัญ | 7.1 | ไม่ | ไม่ | EoP |
| CVE-2022-30208 | ตัวจัดการบัญชีความปลอดภัยของ Windows (SAM) การปฏิเสธช่องโหว่ของบริการ | สำคัญ | 6.5 | ไม่ | ไม่ | DoS |
| CVE-2022-30216 | ช่องโหว่การปลอมแปลงบริการเซิร์ฟเวอร์ Windows | สำคัญ | 8.8 | ไม่ | ไม่ | งัดแงะ |
| CVE-2022-30222 | ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Shell | สำคัญ | 8.4 | ไม่ | ไม่ | RCE |
| CVE-2022-22045 | วินโดว์. อุปกรณ์ Picker.dll ระดับความสูงของช่องโหว่ของสิทธิ์ | สำคัญ | 7.8 | ไม่ | ไม่ | EoP |
| CVE-2022-33644 | Xbox Live Save บริการยกระดับช่องโหว่ของสิทธิ์ | สำคัญ | 7 | ไม่ | ไม่ | EoP |
| CVE-2022-2294 * | โครเมียม: CVE-2022-2294 บัฟเฟอร์ล้นใน WebRTC | สูง | ไม่มี | ไม่ | ใช่ | RCE |
| CVE-2022-2295 * | โครเมียม: ความสับสนประเภท CVE-2022-2295 ใน V8 | สูง | ไม่มี | ไม่ | ไม่ | RCE |
คุณควรจำไว้ว่าการอัปเดต Patch Tuesday ของเดือนนี้แก้ไขช่องโหว่การยกระดับสิทธิ์ซีโร่เดย์ที่ใช้ประโยชน์จากช่องโหว่อย่างแข็งขัน
บริษัทจัดประเภทช่องโหว่เป็น Zero-day หากมีการเปิดเผยต่อสาธารณะหรือนำไปใช้ในทางที่ผิดโดยไม่มีการแก้ไขอย่างเป็นทางการ
เพื่อความชัดเจนยิ่งขึ้น ช่องโหว่ Zero-day ที่ถูกโจมตีอย่างแข็งขันซึ่งได้รับการแก้ไขในวันนี้จะถูกติดตามเป็น CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerability
โดยการใช้ประโยชน์จากมัน บุคคลที่สามที่เป็นอันตรายอาจได้รับสิทธิ์ SYSTEM ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft ได้แนะนำผ่านรุ่นล่าสุดนี้
ที่สำคัญไม่แพ้กัน โปรดจำไว้ว่ามีการแก้ไขข้อบกพร่องสามประการสำหรับการปฏิเสธบริการ (DoS) ในการเปิดตัวเดือนนี้ ซึ่งทั้งหมดนั้นมีผลกระทบ
และจากการแก้ไขข้อบกพร่อง EoP 52 รายการ โดย 30 รายการแก้ไขข้อบกพร่องของ Azure Site Recovery ซึ่งหนึ่งในนั้นถูกกล่าวหาว่าอยู่ภายใต้การโจมตี
มองไปข้างหน้า การเปิดตัวอัปเดตความปลอดภัย Patch Tuesday ครั้งต่อไปจะมีขึ้นในวันที่ 9 สิงหาคม ซึ่งเร็วกว่าที่คาดไว้เล็กน้อย
คุณพบปัญหาอื่นๆ หลังจากติดตั้งการอัปเดตความปลอดภัยในเดือนนี้หรือไม่ แบ่งปันความคิดเห็นของคุณในส่วนความคิดเห็นด้านล่าง
