微软本周三释出2022年1月的Patch Tuesday每月安全更新,修补微软Office、Windows HTTP协议和Exchange Server等96项漏洞,包括9项重大风险漏洞。
微软本周三释出2022年1月的Patch Tuesday每月安全更新,修补微软Office、Windows HTTP协议和Exchange Server等96项漏洞,包括9项重大风险漏洞。
此次漏洞涵括Windows 、Windows元件、Edge (Chromium-based)、Exchange Server、Office及Office元件、SharePoint 、. NET Framework,、Microsoft Dynamics、Windows Hyper-V、Defender及Remote Desktop Protocol (RDP)等。 本次也修补了6项零时差漏洞,不过微软表示没有迹象显示有任何漏洞已经遭到攻击。
其中微软特别点出编号CVE-2022-21907的漏洞,影响利用HTTP协议堆叠(http.sys)处理封包的Windows Server,未经授权的攻击者可传送恶意封包来开采漏洞。 微软指出,这是项「wormable」的漏洞,意谓恶意程式可经由一台受害的服务器在不经用户互动下,扩及其他有漏洞的机器。 该漏洞风险值被列为9.8(10分为满分)。
另一重大远程代码执行(remote code execution, RCE)漏洞为CVE-2022-21840,影响Office的漏洞。 微软指出,攻击者可能传送恶意档案诱使其开启档案来开采这项漏洞。 该漏洞风险值8.8,但微软这波更新尚未能修补Office 2019 for Mac及Office LTSC for Mac。
安全专家分析,大部份Office中的RCE漏洞只列为重要,是因为通常需要用户动作且开启文件时也会有警告对话框,但这只漏洞攻击并不会触发警告对话框。
CVE-2022-21846则是由美国国安局(National Security Agency)通报 的Exchange Server漏洞,被列为开采风险高(CVSS 9.0)。 这也是本周修补的3个Exchange Server漏洞之一,另二个为CVE-2022-21969和 CVE-2022-21855。
不过不像去年的ProxyLogon及ProxyShell漏洞可远程开采。 这3项Exchange Server漏洞需要攻击者和目标机器在同一网络上才能开采。
其他零时差漏洞包括存在Windows 中的开源cURL库 RCE漏洞CVE-2021-22947,可能导致中间人攻击(man-in-the-middle, MiTM)以及Active Directory Domain Service的CVE-2022-21857。 两者皆被列为重大风险。
其他分别为Virtual Machin IDE Drive的CVE-2022-21833、DirectX Graphics Kernel的CVE-2022-21912和 CVE-2022-21898、以及HEVC Video Extensions的CVE-2022-21917,皆为列为重要(important)风险。
微信扫一扫
