Microsoft hôm thứ Ba đã tung ra các bản cập nhật bảo mật hàng tháng với các bản sửa lỗi cho 51 lỗ hổng trong dòng phần mềm của mình bao gồm Windows, Office, Teams, Azure Data Explorer, Visual Studio Code và các thành phần khác như Kernel và Win32k.
Trong số 51 lỗi đã đóng, 50 lỗi được đánh giá là Quan trọng và một lỗi được đánh giá là Trung bình về mức độ nghiêm trọng, khiến nó trở thành một trong những bản cập nhật Bản vá thứ ba hiếm hoi mà không có bất kỳ bản sửa lỗi nào cho các lỗ hổng được xếp hạng Nghiêm trọng. Đây cũng là 19 lỗi khác mà công ty đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình.
Không có lỗ hổng bảo mật nào được liệt kê là đang bị khai thác tích cực, trong khi lỗ hổng – CVE-2022-21989 (điểm CVSS: 7,8) – đã được phân loại là zero-day được tiết lộ công khai tại thời điểm phát hành. Vấn đề liên quan đến lỗi leo thang đặc quyền trong Windows Kernel, với cảnh báo của Microsoft về các cuộc tấn công tiềm ẩn khai thác điểm thiếu sót này.
“Việc khai thác thành công lỗ hổng này đòi hỏi kẻ tấn công phải thực hiện các hành động bổ sung trước khi khai thác để chuẩn bị môi trường mục tiêu”, công ty lưu ý trong lời khuyên của mình. “Một cuộc tấn công thành công có thể được thực hiện từ một AppContainer có đặc quyền thấp. Kẻ tấn công có thể nâng cao các đặc quyền của chúng và thực thi mã hoặc truy cập tài nguyên ở mức toàn vẹn cao hơn so với môi trường thực thi AppContainer.”
Cũng được giải quyết là một số lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows DNS Server (CVE-2022-21984, điểm CVSS: 8,8), SharePoint Server (CVE-2022-22005, điểm CVSS: 8,8), Windows Hyper-V (CVE-2022 -21995, điểm CVSS: 5,3) và Phần mở rộng video HEVC (CVE-2022-21844, CVE-2022-21926 và CVE-2022-21927, điểm CVSS: 7,8).
Bản cập nhật bảo mật cũng khắc phục lỗ hổng giả mạo Azure Data Explorer (CVE-2022-23256, điểm CVSS: 8,1), hai lỗ hổng bảo mật bỏ qua mỗi lỗ hổng ảnh hưởng đến Outlook cho Mac (CVE-2022-23280, điểm CVSS: 5,3) và OneDrive cho Android ( CVE-2022-23255, điểm CVSS: 5,9), và hai lỗ hổng từ chối dịch vụ trong .NET (CVE-2022-21986, điểm CVSS: 7,5) và Nhóm (CVE-2022-21965, điểm CVSS: 7,5).
Microsoft cũng cho biết họ đã khắc phục nhiều lỗi nâng cao đặc quyền – bốn lỗi trong dịch vụ Print Spooler và một lỗi trong trình điều khiển Win32k (CVE-2022-21996, điểm CVSS: 7,8), lỗi sau được gắn nhãn “Khả năng khai thác nhiều hơn”. của một lỗ hổng tương tự trong cùng một thành phần đã được vá vào tháng trước (CVE-2022-21882) và kể từ đó đã bị tấn công tích cực.
Các bản cập nhật đến khi gã khổng lồ công nghệ vào cuối tháng trước đã xuất bản lại một lỗ hổng có từ năm 2013 – một vấn đề xác thực chữ ký ảnh hưởng đến WinVerifyTrust (CVE-2013-3900) – lưu ý rằng bản sửa lỗi “có sẵn dưới dạng tính năng chọn tham gia thông qua cài đặt khóa reg, và có sẵn trên các phiên bản Windows được hỗ trợ được phát hành kể từ ngày 10 tháng 12 năm 2013. “
Động thái này có thể được thúc đẩy để đáp lại một chiến dịch phần mềm độc hại ZLoader đang diễn ra, như được phát hiện bởi Check Point Research vào đầu tháng 1, đã được phát hiện lợi dụng lỗ hổng để vượt qua cơ chế xác minh chữ ký tệp và thả phần mềm độc hại có khả năng lấy thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác .
Bản vá phần mềm từ các nhà cung cấp khác
Bên cạnh Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác để khắc phục một số lỗ hổng, tính –
.
