微软1月累积更新发布,修复6个0day、9个高危漏洞
2022-1-13 17:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

编辑:左右里

2022年的第二个星期二,微软1月份的累积更新如期发布。本次更新涉及Microsoft Edge(基于 Chromium)、Microsoft Exchange Server、Microsoft Office、Microsoft Teams、Windows Defender等,共修复97个漏洞,其中有9个高危漏洞。

各类型漏洞的数量分别为:

41个 权限提升漏洞
9个 安全功能绕过漏洞
29个 远程代码执行漏洞
6个 信息泄露漏洞
9个 拒绝服务漏洞
3个 欺骗漏洞
所有已披露的漏洞均被列为未受攻击。

其中最关键的漏洞之一是CVE-2022-21907(CVSS分数9.8),这是一个存在于HTTP协议栈的远程代码执行漏洞。微软在其公告中指出,在大多数情况下,未经身份验证的攻击者可以使用HTTP协议栈(http.sys)向目标服务器发送特制的数据包来处理数据包。

另一个关键漏洞是Windows Internet Key Exchange Extension中的远程代码执行漏洞(CVE-2022-21849,CVSS分数9.8),微软表示,在启用了 Internet Key Exchange version 2的环境中,远程攻击者可以在未经身份验证的情况下触发多个漏洞。

另外还有六个未被利用的0day漏洞:

CVE-2021-22947:OpenSource Curl远程代码执行漏洞
CVE-2021-36976:WindowsLibarchive远程代码执行漏洞
CVE-2022-21919:Windows用户配置文件服务权限提升漏洞
CVE-2022-21836:Windows证书欺骗漏洞
CVE-2022-21839:Windows事件跟踪任意访问控制列表拒绝服务漏洞
CVE-2022-21874:Windows安全中心 API 远程代码执行漏洞

值得注意的是,更新补丁修复了多个影响Exchange Server、Microsoft Office(CVE-2022-21840)、SharePoint Server、RDP、Windows弹性文件系统的远程代码执行漏洞,以及Windows ActiveDirectory、Windows Account Control、Windows Cleanup Manager、Windows Kerberos等中的权限提升漏洞。

资讯来源:Microsoft 安全响应中心
转载请注明出处和本文链接


推荐文章++++

华为在美国专利授权排名第五,全球专利持有量前十中国占六家
欧盟数据主管命令欧洲刑警组织删除与犯罪无关的个人数据
法国罚谷歌脸书共2.1亿欧元,因用户无法简单拒绝Cookie
2021年网络安全事件大盘点
动视起诉外挂网站EngineOwning,且要求外挂开发者赔偿损失
本田讴歌汽车导航系统故障,出现时钟倒置?
McMenamins 23年间的雇员数据泄露,最早可追溯到1998年


球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458418348&idx=3&sn=2da2a558e08b97336d6669dd22a6c187&chksm=b18f4c2686f8c530fbd281fd9213d39cb60f588fc06d784573ccba5c728a91d9471fe922ca5c#rd
如有侵权请联系:admin#unsafe.sh