微软补丁星期二修复新的Windows零日;没有针对Exchange Server Bug的修补程序
微软星期二发布的10月份修补程序更新共解决了85个安全漏洞,其中包括对一个被广泛利用的零日漏洞的修复。
在85个bug中,15个被评为“严重”,69个被评“重要”,还有一个严重性为“中等”。但是,更新不包括针对Exchange Server中主动利用的ProxyNotShell漏洞的缓解措施。
这些补丁与本月初发布的解决基于Chromium的Edge浏览器中其他12个缺陷的更新一起发布。
本月补丁列表中排名第一的是CVE-22-41033(CVSS得分:7.8),这是Windows COM+Event System Service中的一个特权升级漏洞。一位匿名研究人员被认为报道了这一问题。
该公司在一份咨询中表示:“成功利用该漏洞的攻击者可能会获得系统权限。”该公司警告称,在现实世界的攻击中,该漏洞正在被积极武器化。
该漏洞的性质还意味着该问题可能与其他漏洞相关联,从而升级特权并对受感染的主机执行恶意操作。
Immersive Labs网络威胁研究主管Kev Breen表示:“这个特定漏洞是一个本地特权升级,这意味着攻击者需要在主机上执行代码才能利用此漏洞”。
另外三个值得注意的特权提升漏洞与Windows Hyper-V(CVE-22-37979,CVSS得分:7.8)、Active Directory证书服务(CVE-2022-37976,CVSS分数:8.8)和支持Azure Arc的Kubernetes群集连接(CVE-022-37968,CVSS分分:10.0)有关。
尽管CVE-22-37968有“不太可能利用”标签,但微软指出,成功利用该漏洞可能会允许“未经身份验证的用户提升其作为集群管理员的权限,并可能获得对Kubernetes集群的控制权”。
其他地方,CVE-22-41043(CVSS评分:3.3);Microsoft Office中的信息泄露漏洞;在发布时被列为公众所知。微软表示,它可能被用来泄露用户令牌和其他潜在的敏感信息。
Redmond还修复了Windows内核中的8个权限升级漏洞、Windows点对点隧道协议和SharePoint Server中的11个远程代码执行漏洞,以及后台打印模块中的另一个权限漏洞升级(CVE-22-38028,CVSS得分:7.8)。
最后,周二的补丁更新进一步解决了Windows工作站服务(CVE-22-38034,CVSS评分:4.3)和服务器服务远程协议(CVE-225-38045,CVSS得分:8.8)中的两个权限升级缺陷。
发现这两个缺点的网络安全公司Akamai表示,他们“利用了一个设计缺陷,该缺陷允许通过缓存绕过[Microsoft Remote Procedure Call]安全回调。”
其他供应商提供的软件修补程序
除了微软,一些供应商也发布了安全更新,以纠正数十个漏洞,包括-
- 土砖
- 安卓
- Apache项目
- 苹果
- 思科
- 思杰公司
- CODESYS公司
- 戴尔
- 第5页
- Fortinet(包括主动利用的漏洞)
- GitLab
- 谷歌浏览器
- 国际商用机器公司
- 联想
- Linux发行版Debian、Oracle Linux、Red Hat、SUSE和Ubuntu
- 联发科技
- NVIDIA公司
- 高通公司
- 桑巴
- 活力
- 施耐德电气
- 西门子
- 趋势微观
- VMware公司
