微软2022年首个Patch Tuesday修补96个安全漏洞其中有6个为零时差漏洞

2022年的开春,企业IT管理人员可能会忙碌一些了,因为微软在今年1月的Patch Tuesday总计修补了96个安全漏洞,其中有9个被列为重大(Critical)漏洞,还有6个为零时差漏洞,不过,相关漏洞尚未遭到黑客开采。

其中,涉及Curl与Libarchive的安全漏洞先前就已被各自的维护者修补,只是微软本周才于Windows中修补它们。

Zero Day Initiative(ZDI)特别点名了4个重要漏洞,包括CVE-2022-21907、CVE-2022-21846、CVE-2022-21840与CVE-2022-21857。黑客只要发送一个特定的封包到一个利用http.sys的系统进行处理,就能开采CVE-2022-21907,取得系统的执行权限,完全不需与用户交互或事先取得特权,并可演变成蠕虫漏洞。且除了服务器之外,Windows客户端也都能执行http.sys,代表所有的版本都受到该漏洞的影响。

微软在本月修补了3个Exchange Server漏洞,虽然它们的CVSS风险评分都高达9,但只有CVE-2022-21846被列为重大等级,它很可能被开采,并让黑客取得Exchange Server的控制权,但前提是黑客必须与目标对象共享实体网络,例如蓝牙、本地端的IP子网络或其它受限的管理域名等。

此外,大多数的Office漏洞都只被列为重大(Important)等级,因为相关漏洞多半需要与用户交互才能开采,而且会跳出警告窗口,然而,CVE-2022-21840漏洞却在用户打开特定的文件时没有任何的警告。

Author: dafabet

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注