最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

微软2022年12月补丁星期二修复了2个零日漏洞49个漏洞

网络安全 快米云 来源:快米云 150浏览

星期二补丁

今天是微软的 2022 年 12 月补丁星期二,随之修复了两个零日漏洞,包括一个被积极利用的漏洞,以及总共 49 个漏洞。

今天更新修复的 49 个漏洞中有 6 个被归类为“严重”漏洞,因为它们允许远程代码执行,这是最严重的漏洞类型之一。

每个漏洞类别中的错误数量如下所列:

  • 19 提权漏洞
  • 2 安全功能绕过漏洞
  • 23 远程代码执行漏洞
  • 3 信息泄露漏洞
  • 3 拒绝服务漏洞
  • 1 欺骗漏洞

上述计数不包括之前在 12 月 5 日修复的 25 个 Microsoft Edge 漏洞。

有关非安全 Windows 更新的信息,您可以阅读今天关于 Windows 10 KB5021233 和 KB5021237 更新 以及 Windows 11 KB5021255 和 KB5021234 更新的文章。

修复了两个零日漏洞

本月的周二补丁修复了两个零日漏洞,一个被积极利用,另一个被公开披露。

如果某个漏洞被公开披露或被积极利用但没有可用的官方修复程序,Microsoft 会将其归类为零日漏洞。

在今天的更新中修复的被积极利用和公开披露的零日漏洞是:

CVE-2022-44698 –  Will Dormann 发现的 Windows SmartScreen 安全功能绕过漏洞。

“攻击者可以制作一个恶意文件来逃避网络标记 (MOTW) 防御,从而导致有限的完整性和可用性损失,例如 Microsoft Office 中依赖于 MOTW 标记的受保护视图。”

 威胁参与者通过创建使用格式错误的签名进行签名的恶意独​​立 JavaScript 文件来利用此漏洞 。

用于安装 Magniber 勒索软件的 JavaScript 文件
用于安装 Magniber 勒索软件的 JavaScript 文件
来源:news.zzqidc.com

当以这种方式签名时,它会 导致 SmartCheck 出错 并且不显示 Web 安全警告标记,从而允许恶意脚本自动运行和安装恶意软件。

威胁行为者在众多恶意软件分发活动中积极利用此漏洞,包括 传播 QBot 木马 和 Magniber 勒索软件的活动。

另一个公开披露的漏洞是:

CVE-2022-44710 –  Luka Pribanić 发现的DirectX 图形内核特权提升漏洞。

“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。”

其他公司的最新更新

其他在 2022 年 12 月发布更新的供应商包括:

  • Cisco 发布了Cisco IP Phone 7800 和 8800 电话的安全更新。
  • Citrix针对 Citrix ADA 和 Gateway 中的“严重”和主动利用 RCE 漏洞发布了安全更新。
  • Fortinet 针对 FortiOS 中主动利用 SSL-VPN 漏洞发布了安全更新。
  • 谷歌 发布了 Android 的 12 月安全更新
  • SAP发布了 2022 年 12 月补丁日更新。

2022 年 12 月补丁星期二安全更新

以下是 2022 年 12 月补丁星期二更新中已解决漏洞和已发布公告的完整列表。要访问每个漏洞及其影响的系统的完整描述,您可以在此处查看完整报告

标签 漏洞编号 CVE 标题 严重性
.NET框架 CVE-2022-41089 .NET Framework 远程代码执行漏洞 重要的
蔚蓝 CVE-2022-44699 Azure Network Watcher 代理安全功能绕过漏洞 重要的
客户端服务器运行时子系统 (CSRSS) CVE-2022-44673 Windows 客户端服务器运行时子系统 (CSRSS) 特权提升漏洞 重要的
微软蓝牙驱动 CVE-2022-44675 Windows 蓝牙驱动程序特权提升漏洞 重要的
微软蓝牙驱动 CVE-2022-44674 Windows 蓝牙驱动程序信息泄露漏洞 重要的
微软动力 CVE-2022-41127 Microsoft Dynamics NAV 和 Microsoft Dynamics 365 Business Central(本地)远程代码执行漏洞 批判的
Microsoft Edge(基于 Chromium) CVE-2022-4192 Chromium:CVE-2022-4192 在实时字幕中免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4193 Chromium:CVE-2022-4193 文件系统 API 中的策略执行不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-4190 Chromium:CVE-2022-4190 目录中的数据验证不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-4191 Chromium:CVE-2022-4191 登录后免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4194 Chromium:CVE-2022-4194 在 Accessibility 中免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-41115 Microsoft Edge(基于 Chromium)更新特权提升漏洞 重要的
Microsoft Edge(基于 Chromium) CVE-2022-44688 Microsoft Edge(基于 Chromium)欺骗漏洞 缓和
Microsoft Edge(基于 Chromium) CVE-2022-4195 Chromium:CVE-2022-4195 安全浏览中的政策执行不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-44708 Microsoft Edge(基于 Chromium)特权提升漏洞 重要的
Microsoft Edge(基于 Chromium) CVE-2022-4181 Chromium:CVE-2022-4181 在 Forms 免费后使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4180 Chromium:CVE-2022-4180 在 Mojo 中免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4174 Chromium:V8 中的 CVE-2022-4174 类型混淆 未知
Microsoft Edge(基于 Chromium) CVE-2022-4182 Chromium:CVE-2022-4182 在 Fenced Frames 中实施不当 未知
Microsoft Edge(基于 Chromium) CVE-2022-4179 Chromium:CVE-2022-4179 在音频中免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4178 Chromium:CVE-2022-4178 在 Mojo 中免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4175 Chromium:CVE-2022-4175 在 Camera Capture 中释放后使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4177 Chromium:CVE-2022-4177 在扩展中免费使用 未知
Microsoft Edge(基于 Chromium) CVE-2022-4187 Chromium:CVE-2022-4187 DevTools 中的策略执行不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-4185 Chromium:CVE-2022-4185 在导航中实施不当 未知
Microsoft Edge(基于 Chromium) CVE-2022-4188 Chromium:CVE-2022-4188 CORS 中不可信输入的验证不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-4189 Chromium:CVE-2022-4189 DevTools 中的策略执行不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-4186 Chromium:CVE-2022-4186 下载中不受信任的输入验证不充分 未知
Microsoft Edge(基于 Chromium) CVE-2022-4183 Chromium:CVE-2022-4183 弹出窗口阻止程序中的政策执行不足 未知
Microsoft Edge(基于 Chromium) CVE-2022-4184 Chromium:CVE-2022-4184 自动填充中的政策执行不足 未知
微软图形组件 CVE-2022-26805 Microsoft Office 图形远程代码执行漏洞 重要的
微软图形组件 CVE-2022-26804 Microsoft Office 图形远程代码执行漏洞 重要的
微软图形组件 CVE-2022-47213 Microsoft Office 图形远程代码执行漏洞 重要的
微软图形组件 CVE-2022-44697 Windows 图形组件特权提升漏洞 缓和
微软图形组件 CVE-2022-41121 Windows 图形组件特权提升漏洞 重要的
微软图形组件 CVE-2022-44671 Windows 图形组件特权提升漏洞 重要的
微软图形组件 CVE-2022-47212 Microsoft Office 图形远程代码执行漏洞 重要的
微软图形组件 CVE-2022-26806 Microsoft Office 图形远程代码执行漏洞 重要的
微软图形组件 CVE-2022-47211 Microsoft Office 图形远程代码执行漏洞 重要的
微软图形组件 CVE-2022-41074 Windows 图形组件信息泄露漏洞 重要的
微软图形组件 CVE-2022-44679 Windows 图形组件信息泄露漏洞 重要的
微软图形组件 CVE-2022-44680 Windows 图形组件特权提升漏洞 重要的
微软办公软件 CVE-2022-44692 Microsoft Office 图形远程代码执行漏洞 重要的
微软办公记事本 CVE-2022-44691 Microsoft Office OneNote 远程代码执行漏洞 重要的
微软办公室展望 CVE-2022-24480 Android 特权提升漏洞的展望 重要的
微软办公室展望 CVE-2022-44713 Microsoft Outlook for Mac 欺骗漏洞 重要的
微软办公软件 CVE-2022-44690 Microsoft SharePoint Server 远程代码执行漏洞 批判的
微软办公软件 CVE-2022-44693 Microsoft SharePoint Server 远程代码执行漏洞 批判的
微软办公软件 CVE-2022-44696 Microsoft Office Visio 远程代码执行漏洞 重要的
微软办公软件 CVE-2022-44695 Microsoft Office Visio 远程代码执行漏洞 重要的
微软办公软件 CVE-2022-44694 Microsoft Office Visio 远程代码执行漏洞 重要的
Microsoft Windows 编解码器库 CVE-2022-44668 Windows Media 远程代码执行漏洞 重要的
Microsoft Windows 编解码器库 CVE-2022-44667 Windows Media 远程代码执行漏洞 重要的
Microsoft Windows 编解码器库 CVE-2022-44687 原始图像扩展远程代码执行漏洞 重要的
角色:Windows Hyper-V CVE-2022-41094 Windows Hyper-V 特权提升漏洞 重要的
角色:Windows Hyper-V CVE-2022-44682 Windows Hyper-V 拒绝服务漏洞 重要的
系统内部 CVE-2022-44704 Microsoft Windows Sysmon 特权提升漏洞 重要的
Windows 证书 ADV220005 有关恶意使用 Microsoft 签名驱动程序的指南 没有任何
Windows 联系人 CVE-2022-44666 Windows 联系人远程代码执行漏洞 重要的
Windows DirectX CVE-2022-44710 DirectX 图形内核提权漏洞 重要的
Windows 错误报告 CVE-2022-44669 Windows 错误报告特权提升漏洞 重要的
Windows 传真撰写表格 CVE-2022-41077 Windows 传真撰写表单特权提升漏洞 重要的
Windows HTTP 打印提供程序 CVE-2022-44678 Windows 后台打印程序特权提升漏洞 重要的
视窗内核 CVE-2022-44707 Windows 内核拒绝服务漏洞 重要的
视窗内核 CVE-2022-44683 Windows 内核特权提升漏洞 重要的
Windows PowerShell CVE-2022-41076 PowerShell 远程代码执行漏洞 批判的
Windows 打印后台处理程序组件 CVE-2022-44681 Windows 后台打印程序特权提升漏洞 重要的
Windows 投影文件系统 CVE-2022-44677 Windows 投影文件系统特权提升漏洞 重要的
Windows 安全套接字隧道协议 (SSTP) CVE-2022-44670 Windows 安全套接字隧道协议 (SSTP) 远程代码执行漏洞 批判的
Windows 安全套接字隧道协议 (SSTP) CVE-2022-44676 Windows 安全套接字隧道协议 (SSTP) 远程代码执行漏洞 批判的
Windows 智能屏幕 CVE-2022-44698 Windows SmartScreen 安全功能绕过漏洞 缓和
适用于 Linux 的 Windows 子系统 CVE-2022-44689 适用于 Linux 的 Windows 子系统 (WSL2) 内核特权提升漏洞 重要的
Windows 终端 CVE-2022-44702 Windows 终端远程代码执行漏洞 重要的

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软2022年12月补丁星期二修复了2个零日漏洞49个漏洞