2022年的第二个星期二,微软1月份的累积更新如期发布。本次更新涉及Microsoft Edge(基于 Chromium)、Microsoft Exchange Server、Microsoft Office、Microsoft Teams、Windows Defender等,共修复97个漏洞,其中有9个高危漏洞。
各类型漏洞的数量分别为:
其中最关键的漏洞之一是CVE-2022-21907(CVSS分数9.8),这是一个存在于HTTP协议栈的远程代码执行漏洞。微软在其公告中指出,在大多数情况下,未经身份验证的攻击者可以使用HTTP协议栈(http.sys)向目标服务器发送特制的数据包来处理数据包。
另一个关键漏洞是Windows Internet Key Exchange Extension中的远程代码执行漏洞(CVE-2022-21849,CVSS分数9.8),微软表示,在启用了 Internet Key Exchange version 2的环境中,远程攻击者可以在未经身份验证的情况下触发多个漏洞。
另外还有六个未被利用的0day漏洞:
值得注意的是,更新补丁修复了多个影响Exchange Server、Microsoft Office(CVE-2022-21840)、SharePoint Server、RDP、Windows弹性文件系统的远程代码执行漏洞,以及Windows ActiveDirectory、Windows Account Control、Windows Cleanup Manager、Windows Kerberos等中的权限提升漏洞。
推荐文章++++
球分享
球点赞
球在看