2022年12月14日(北京时间),微软发布了安全更新,共发布了52个CVE的补丁程序,同比上月减少了17个。
在漏洞安全等级方面,存在6个标记等级为“Critical”的漏洞,43个漏洞被标记为“Important/High”;在漏洞类型方面,主要有23个远程代码执行漏洞,19个权限提升漏洞以及3个信息泄露漏洞。
漏洞分析
2022年漏洞数量趋势
图 1 2022年微软补丁漏洞修复情况
总体上来看,微软本月发布的补丁数量为52个,有6个 Critical 漏洞补丁。
千里目安全技术中心在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况,初步估计微软在明年一月份公布的漏洞数将比今年十二月多。漏洞数量将会维持在100个左右。
历史微软补丁日12月漏洞对比
2019-2022年,12月份的漏洞数趋势如下图:
图 2 微软近年12月漏洞数量对比
2019-2022年,12月份的漏洞危险等级趋势和数量如下图:
图 3 微软近年12月漏洞危险等级对比
2019-2022年,12月份的漏洞各个类型数量对比如下图:
图 4 微软近年12月漏洞类型对比
从漏洞数量来看,今年相较去年有少量增加。微软在2022年12月份爆发的漏洞相较于去年有少量的减少。本月出现了52个漏洞补丁,并且有6个 Critical 类型的漏洞补丁。
从漏洞的危险等级来看,相较去年“Important”等级的漏洞有少量减少,“Critical”等级的漏洞有少量减少,近两年相对历史数据而言总体漏洞数量变化较小。从漏洞趋势上看,针对Windows系统本身的严重型和高危型漏洞数量减少,针对Windows产品侧的漏洞数量占据大多数。
从漏洞类型来看,RCE类型的漏洞数量变化较小,DoS类型的漏洞数量变化平稳,EoP类型的漏洞数量变化较小,仍然需要引起高度重视,尤其是RCE漏洞在配合社工手段的前提下,甚至可以直接接管整个局域网并进行进一步扩展攻击。
重要漏洞分析
漏洞分析
Windows SmartScreen 安全功能绕过漏洞 CVE-2022-44698
Microsoft SmartScreen筛选工具提供了一组工具,能够协助对抗电脑病毒:防网络钓鱼的保护,应用程序评价和反恶意程式码的保护。分别可防冒充的网站,避免受到这类网站骗取密码和账单资料等个人资讯,应移除不必要的已知档案警告,并且针对高风险下载显示严重警告和防范潜在有害的软件。
其中存在安全功能绕过漏洞,攻击者可以利用该漏洞在绕过目标系统上的安全功能,做出规定之外的行为。漏洞存在在野利用,该漏洞经过评估,危害比较大,我们建议用户及时更新微软安全补丁。
DirectX 图形内核特权提升漏洞 CVE-2022-44710
DirectX是由微软公司创建的一系列专为多媒体以及游戏开发的应用程序接口。旗下包含Direct3D、Direct2D、DirectCompute等等多个不同用途的子部分。
DirectX被广泛用于Microsoft Windows、Microsoft Xbox电子游戏开发,并且只能支持这些平台。除了游戏开发之外,DirectX亦被用于开发许多虚拟三维图形相关软件。Direct3D是DirectX中最广为应用的子模块,所以有时候这两个名词可以互相代称。
其中存在权限提升漏洞,攻击者可以利用该漏洞在目标系统获取更高的权限。该漏洞经过评估,危害比较大,我们建议用户及时更新微软安全补丁。
影响范围
|
漏洞名称 |
受影响版本 |
|
Windows SmartScreen 安全功能绕过漏洞 CVE-2022-44698 |
Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 22H2 for 32-bit Systems Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows 11 for ARM64-based Systems Windows 11 for x64-based Systems Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows Server 2022 Datacenter: Azure Edition Windows Server 2022 Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows Server 2019 Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems |
|
DirectX 图形内核特权提升漏洞 CVE-2022-44710 |
Windows 11 Version 22H2 for x64-based Systems Windows 11 Version 22H2 for ARM64-based Systems |
解决方案
1.官方修复建议
微软官方已更新受影响软件的安全补丁,用户可根据不同系统版本下载安装对应的安全补丁,安全更新链接如下:
1.https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2022-44698
2.https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2022-44710
参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec
时间轴
2022/12/14
微软例行补丁日,微软官网发布漏洞安全公告。
2022/12/14
深信服千里目安全技术中心发布安全通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】微软补丁日安全通告|12月份
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论