- Досить насичений місяць для випуску Microsoft Patch у вівторок із 71 CVE.
- З усіх CVE 68 були позначені як важливі, і жодна як помірна.
- Однак технологічному гіганту Редмонда довелося мати справу з трьома неприємними критичними помилками.
- Ми включили всіх без винятку в цю статтю з прямими посиланнями.
Знову настав той час місяця, і всі дивляться на Microsoft, сподіваючись, що деякі недоліки, з якими вони боролися, нарешті будуть виправлені.
Ми вже надали прямі посилання для скачування для сукупних оновлень, випущених сьогодні для Windows 10 і 11, але тепер настав час знову поговорити про критичні вразливості та ризики.
З точки зору ваги, випуск цього місяця збігається з випусками Merch за попередні роки, які зазвичай становлять близько 60-70 CVE.
Давайте зануримося в це і подивимося, які вразливі місця повністю зникли з нашого життя, тепер, коли ці виправлення діють.
Цього місяця було вирішено три критичні помилки
За третій місяць 2022 року Microsoft випустила 71 новий патч. Це на додаток до 21 CVE, виправлених Microsoft Edge (на основі Chromium) на початку цього місяця, що збільшує загальну кількість CVE за березень до 92 CVE.
Отже, 71 новий патч, які стали доступні сьогодні, спрямовані на CVE в:
- .NET і Visual Studio
- Відновлення сайту Azure
- Microsoft Defender для кінцевої точки
- Microsoft Defender для IoT
- Microsoft Edge (на основі Chromium)
- Сервер Microsoft Exchange
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Бібліотека кодеків Microsoft Windows
- Розфарбуйте 3D
- Роль: Windows Hyper-V
- Розширення Skype для Chrome
- Інтерфейс користувача для планшета Windows
- Код Visual Studio
- Драйвер допоміжних функцій Windows для WinSock
- Драйвер компакт-диска Windows
- Драйвер міні-фільтра Windows Cloud Files
- Windows COM
- Драйвер загальної файлової системи журналу Windows
- Основна бібліотека Windows DWM
- Трасування подій Windows
- Драйвер Windows Fastfat
- Служба факсу та сканування Windows
- Платформа HTML Windows
- Інсталятор Windows
- Ядро Windows
- Windows Media
- Windows PDEV
- Протокол тунелювання Windows «точка-точка».
- Компоненти диспетчера друку Windows
- Віддалений робочий стіл Windows
- Інтерфейс постачальника підтримки безпеки Windows
- Сервер Windows SMB
- Стек оновлення Windows
- XBox
Важливо також зазначити, що з 71 CVE, опублікованих сьогодні, три мають рейтинг критичних, а 68 — важливі за серйозністю.
За словами експертів і деяких користувачів, які мають більш технічний досвід, кількість виправлень із критичним рейтингом знову дивно мала для цієї кількості помилок.
Більше того, досі невідомо, чи цей низький відсоток помилок є просто збігом, чи Microsoft може оцінювати серйозність за допомогою інших обчислень, ніж у минулому.
| CVE | Назва | Тяжкість | CVSS | Громадський | Експлуатується | Тип |
| CVE-2022-24512 | Уразливість віддаленого виконання коду .NET і Visual Studio | Важливо | 6.3 | Так | Ні | RCE |
| CVE-2022-21990 | Уразливість віддаленого виконання коду клієнта віддаленого робочого столу | Важливо | 8.8 | Так | Ні | RCE |
| CVE-2022-24459 | Уразливість служби Windows Fax and Scan Service Elevation привілеїв | Важливо | 7.8 | Так | Ні | EoP |
| CVE-2022-22006 | HEVC Video Extensions Уразливість віддаленого виконання коду | Критичний | 7.8 | Ні | Ні | RCE |
| CVE-2022-23277 | Уразливість віддаленого виконання коду сервера Microsoft Exchange | Критичний | 8.8 | Ні | Ні | RCE |
| CVE-2022-24501 | VP9 Video Extensions Уразливість віддаленого виконання коду | Критичний | 7.8 | Ні | Ні | RCE |
| CVE-2022-24508 | Уразливість клієнта/сервера Windows SMBv3 під час віддаленого виконання коду | Важливо | 8.8 | Ні | Ні | RCE |
| CVE-2022-21967 | Уразливість Xbox Live Auth Manager для Windows Elevation of Privilege | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-24464 | Уразливість .NET і Visual Studio від відмови в обслуговуванні | Важливо | 7.5 | Ні | Ні | DoS |
| CVE-2022-24469 | Уразливість Azure Site Recovery з підвищенням привілеїв | Важливо | 8.1 | Ні | Ні | EoP |
| CVE-2022-24506 | Уразливість Azure Site Recovery з підвищенням привілеїв | Важливо | 6.5 | Ні | Ні | EoP |
| CVE-2022-24515 | Уразливість Azure Site Recovery з підвищенням привілеїв | Важливо | 6.5 | Ні | Ні | EoP |
| CVE-2022-24518 | Уразливість Azure Site Recovery з підвищенням привілеїв | Важливо | 6.5 | Ні | Ні | EoP |
| CVE-2022-24519 | Уразливість Azure Site Recovery з підвищенням привілеїв | Важливо | 6.5 | Ні | Ні | EoP |
| CVE-2022-24467 | Уразливість віддаленого виконання коду Azure Site Recovery | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2022-24468 | Уразливість віддаленого виконання коду Azure Site Recovery | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2022-24470 | Уразливість віддаленого виконання коду Azure Site Recovery | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2022-24471 | Уразливість віддаленого виконання коду Azure Site Recovery | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2022-24517 | Уразливість віддаленого виконання коду Azure Site Recovery | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2022-24520 | Уразливість віддаленого виконання коду Azure Site Recovery | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2020-8927 * | Уразливість переповнення буфера бібліотеки Brotli | Важливо | 6.5 | Ні | Ні | Н/Д |
| CVE-2022-24457 | HEIF Image Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-22007 | HEVC Video Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-23301 | HEVC Video Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-24452 | HEVC Video Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-24453 | HEVC Video Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-24456 | HEVC Video Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-21977 | Уразливість Media Foundation щодо розкриття інформації | Важливо | 3.3 | Ні | Ні | Інформація |
| CVE-2022-22010 | Уразливість Media Foundation щодо розкриття інформації | Важливо | 4.4 | Ні | Ні | Інформація |
| CVE-2022-23278 | Microsoft Defender для вразливості кінцевої точки спуфінгу | Важливо | 5.9 | Ні | Ні | Підробка |
| CVE-2022-23266 | Уразливість Microsoft Defender для IoT Elevation Privilege | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-23265 | Уразливість Microsoft Defender для IoT віддаленого виконання коду | Важливо | 7.2 | Ні | Ні | RCE |
| CVE-2022-24463 | Уразливість сервера Microsoft Exchange для спуфінгу | Важливо | 6.5 | Ні | Ні | Підробка |
| CVE-2022-24465 | Портал Microsoft Intune для обходу вразливості функції безпеки iOS | Важливо | 3.3 | Ні | Ні | SFB |
| CVE-2022-24461 | Уразливість віддаленого виконання коду Microsoft Office Visio | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-24509 | Уразливість віддаленого виконання коду Microsoft Office Visio | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-24510 | Уразливість віддаленого виконання коду Microsoft Office Visio | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-24511 | Уразливість Microsoft Office Word | Важливо | 5.5 | Ні | Ні | Підробка |
| CVE-2022-24462 | Уразливість обходу функції безпеки Microsoft Word | Важливо | 5.5 | Ні | Ні | SFB |
| CVE-2022-23282 | Уразливість Paint 3D Remote Code Execution | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-23253 | Уразливість протоколу відмова в обслуговуванні "точка-точка". | Важливо | 6.5 | Ні | Ні | DoS |
| CVE-2022-23295 | Уразливість віддаленого виконання коду розширення Raw Image | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-23300 | Уразливість віддаленого виконання коду розширення Raw Image | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-23285 | Уразливість віддаленого виконання коду клієнта віддаленого робочого столу | Важливо | 8.8 | Ні | Ні | RCE |
| CVE-2022-24503 | Уразливість розкриття інформації клієнта протоколу віддаленого робочого столу | Важливо | 5.4 | Ні | Ні | Інформація |
| CVE-2022-24522 | Розширення Skype для вразливості Chrome щодо розкриття інформації | Важливо | 7.5 | Ні | Ні | Інформація |
| CVE-2022-24460 | Уразливість програми підвищення привілеїв для планшетного ПК Windows | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-24526 | Уразливість Visual Studio Code Spoofing | Важливо | 6.1 | Ні | Ні | Підробка |
| CVE-2022-24451 | VP9 Video Extensions Уразливість віддаленого виконання коду | Важливо | 7.8 | Ні | Ні | RCE |
| CVE-2022-23283 | Уразливість Windows ALPC Elevation of Privilege | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-23287 | Уразливість Windows ALPC Elevation of Privilege | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-24505 | Уразливість Windows ALPC Elevation of Privilege | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-24507 | Драйвер допоміжних функцій Windows для уразливості WinSock Elevation of Privilege | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-24455 | Уразливість драйвера компакт-диска Windows щодо підвищення привілеїв | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-23286 | Уразливість драйвера міні-фільтра Windows Cloud Files з підвищенням привілеїв | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-23281 | Уразливість розкриття інформації про драйвери загальної файлової системи журналів Windows | Важливо | 5.5 | Ні | Ні | Інформація |
| CVE-2022-23288 | Уразливість підвищення привілеїв основної бібліотеки Windows DWM | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-23291 | Уразливість підвищення привілеїв основної бібліотеки Windows DWM | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-23294 | Уразливість віддаленого виконання коду відстеження подій Windows | Важливо | 8.8 | Ні | Ні | RCE |
| CVE-2022-23293 | Уразливість драйвера файлової системи Fast FAT під час підвищення привілеїв | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-24502 | Уразливість обходу функції безпеки платформ HTML Windows | Важливо | 4.3 | Ні | Ні | SFB |
| CVE-2022-21975 | Уразливість Windows Hyper-V від відмови в обслуговуванні | Важливо | 4.7 | Ні | Ні | DoS |
| CVE-2022-23290 | Уразливість Windows Inking COM Elevation Privilege | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-23296 | Уразливість щодо підвищення привілеїв інсталятора Windows | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-21973 | Уразливість відмову в обслуговуванні оновлення Windows Media Center | Важливо | 5.5 | Ні | Ні | DoS |
| CVE-2022-23297 | Уразливість розкриття інформації про драйвер дейтаграм-приймача диспетчера локальної мережі Windows NT | Важливо | 5.5 | Ні | Ні | Інформація |
| CVE-2022-23298 | Уразливість ядра ОС Windows NT про підвищення привілеїв | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-23299 | Уразливість Windows PDEV про підвищення привілеїв | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-23284 | Уразливість підвищення привілеїв диспетчера друку Windows | Важливо | 7.2 | Ні | Ні | EoP |
| CVE-2022-24454 | Уразливість інтерфейсу постачальника підтримки безпеки Windows підвищити привілеї | Важливо | 7.8 | Ні | Ні | EoP |
| CVE-2022-24525 | Уразливість стека оновлення Windows щодо підвищення привілеїв | Важливо | 7 | Ні | Ні | EoP |
| CVE-2022-0789 | Chromium: переповнення буфера купи в ANGLE | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0797 | Chromium: поза межами доступу до пам’яті в Mojo | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0792 | Chromium: за межами читання в ANGLE | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0795 | Chromium: введіть плутанини в Blink Layout | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0790 | Chromium: використовуйте після безкоштовного використання Cast UI | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0796 | Chromium: Використовуйте після безкоштовного медіа | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0791 | Chromium: використовувати після безкоштовного в універсальному вікні пошуку | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0793 | Chromium: використовуйте після безкоштовного перегляду | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0794 | Chromium: використовуйте після безкоштовного використання в WebShare | Високий | Н/Д | Ні | Ні | RCE |
| CVE-2022-0800 | Chromium: переповнення буфера купи в інтерфейсі Cast | Середній | Н/Д | Ні | Ні | RCE |
| CVE-2022-0807 | Chromium: невідповідне застосування в автозаповненні | Середній | Н/Д | Ні | Ні | Інформація |
| CVE-2022-0802 | Chromium: невідповідна реалізація в повноекранному режимі | Середній | Н/Д | Ні | Ні | Інформація |
| CVE-2022-0804 | Chromium: невідповідна реалізація в повноекранному режимі | Середній | Н/Д | Ні | Ні | Інформація |
| CVE-2022-0801 | Chromium: невідповідна реалізація в аналізаторі HTML | Середній | Н/Д | Ні | Ні | Підробка |
| CVE-2022-0803 | Chromium: неналежна реалізація в дозволах | Середній | Н/Д | Ні | Ні | SFB |
| CVE-2022-0799 | Chromium: недостатнє застосування політики в програмі встановлення | Середній | Н/Д | Ні | Ні | SFB |
| CVE-2022-0809 | Chromium: поза межами доступу до пам’яті у WebXR | Середній | Н/Д | Ні | Ні | RCE |
| CVE-2022-0805 | Chromium: використовуйте після безкоштовного використання в перемикачі браузера | Середній | Н/Д | Ні | Ні | RCE |
| CVE-2022-0808 | Chromium: використовуйте після безкоштовного використання в оболонці ОС Chrome | Середній | Н/Д | Ні | Ні | RCE |
| CVE-2022-0798 | Chromium: використовувати після безкоштовного в MediaStream | Середній | Н/Д | Ні | Ні | RCE |
Майте на увазі, що жодна з помилок не зазначена як активна експлойт цього місяця, а три — як загальновідомі на момент випуску.
Це всі CVE, які розглядаються у випуску виправлення у вівторок цього місяця. Загалом, це був досить важкий, але безпечний місяць, порівняно з попередніми ситуаціями.
Наступна партія програмного забезпечення у вівторок з виправленням вийде 12 квітня, і нам усім цікаво побачити, що Microsoft придумає до того часу.
Будемо сподіватися, що нам не доведеться мати справу з критичними проблемами, і відтепер все буде гладко.
Чи була ця стаття корисною для вас? Поділіться своєю думкою в розділі коментарів нижче.
![Завантажте оновлення Adobe Patch у вівторок [грудень 2019]](/f/9e49ef48b6e635c4cde3637ce21de978.jpg?width=300&height=460)
