微软和其他主要软件公司将于2022年2月发布补丁更新
周二,微软发布了每月一次的安全更新,修复了其软件系列中的51个漏洞,包括Windows、Office、Team、Azure Data Explorer、Visual Studio代码以及内核和Win32k等其他组件。
在已关闭的51个缺陷中,有50个被评为重要缺陷,一个被评为中度缺陷,这使其成为罕见的补丁周二更新,而没有对严重级别的漏洞进行任何修复。此外,该公司还在其基于铬的Edge浏览器中解决了另外19个缺陷。
没有一个安全漏洞被列为主动利用漏洞,而漏洞—;CVE-2022-21989(CVSS分数:7.8)和#8212;在发布时被归类为公开披露的零日。该问题与Windows内核中的权限提升漏洞有关,Microsoft警告可能会利用该漏洞进行攻击。
“成功利用该漏洞需要攻击者在攻击之前采取额外的行动,以准备目标环境,”该公司在其公告中指出。“可以从低权限的AppContainer执行成功的攻击。攻击者可以提升其权限,以高于AppContainer执行环境的完整性级别执行代码或访问资源。”
还解决了一些影响Windows DNS服务器(CVE-2022-21984,CVSS分数:8.8)、SharePoint服务器(CVE-2022-22005,CVSS分数:8.8)、Windows Hyper-V(CVE-2022-21995,CVSS分数:5.3)和HEVC视频扩展(CVE-2022-21844,CVE-2022-21926和CVE-2022-21927,CVSS分数:7.8)的远程代码执行漏洞。
安全更新还修复了Azure Data Explorer的一个欺骗漏洞(CVE-2022-23256,CVSS分数:8.1)、两个分别影响Mac Outlook(CVE-2022-23280,CVSS分数:5.3)和Android OneDrive(CVE-2022-23255,CVSS分数:5.9)的安全绕过漏洞,以及中的两个拒绝服务漏洞。净(CVE-2022-21986,CVSS分数:7.5)和团队(CVE-2022-21965,CVSS分数:7.5)。
微软还表示,它修复了多个特权提升漏洞—;四个在打印后台处理程序服务中,一个在Win32k驱动程序中(CVE-2022-21996,CVSS分数:7.8),后者被标记为“更有可能利用漏洞”,因为上个月修补的同一组件(CVE-2022-21882)中存在类似漏洞,自那以后一直受到主动攻击。
上月末,这家科技巨头发布了一个可追溯到2013年的漏洞—;影响WinVerifyTrust(CVE-2013-3900)和#8212的签名验证问题;请注意,该修复程序“通过注册表项设置作为选择加入功能提供,并在2013年12月10日发布的Windows支持版本上提供。”
正如Check Point Research在1月初发现的那样,ZLoader恶意软件活动正在进行中,利用该漏洞绕过文件签名验证机制,删除能够窃取用户凭据和其他敏感信息的恶意软件,此举可能是对该活动的回应。
来自其他供应商的软件补丁
Besides Microsoft, security updates have also been released by other vendors to rectify several vulnerabilities, counting —
- 土砖
- 安卓
- 思科
- 思杰公司
- 谷歌浏览器
- 情报
- Linux发行版Oracle Linux、Red Hat和SUSE
- Mozilla Firefox和Firefox ESR
- 液
- 施耐德电气和
- 西门子
