微软发布了 2022 年最后一组月度安全更新,修复了其软件产品中的 49 个漏洞。
在这 49 个漏洞中,有 6 个被评为严重,40 个被评为重要,3 个被评为中等严重程度。自本月初以来,基于 Chromium 的 Edge 浏览器已经解决了24 个漏洞,除了这些更新之外。
12 月的补丁星期二插入了两个零日漏洞,一个被积极利用,另一个在发布时被列为公开披露的问题。
前者涉及CVE-2022-44698(CVSS 分数:5.4),这是 Windows SmartScreen 中的三个安全绕过问题之一,恶意行为者可能会利用它来逃避网络标记 (MotW) 保护。
值得注意的是,这个问题与CVE-2022-41091(CVSS 评分:5.4)一起被观察到被 Magniber 勒索软件攻击者利用来在 ZIP 存档中传送恶意 JavaScript 文件。
-
19 提权漏洞
-
2 安全功能绕过漏洞
-
23 远程代码执行漏洞
-
3 信息泄露漏洞
-
3 拒绝服务漏洞
-
1 欺骗漏洞
上述计数不包括之前在 12 月 5 日修复的 25 个 Microsoft Edge 漏洞。
有关非安全 Windows 更新的信息,您可以阅读今天关于 Windows 10 KB5021233 和 KB5021237 更新 以及 Windows 11 KB5021255 和 KB5021234 更新的文章。
修复了两个零日漏洞
本月的周二补丁修复了两个零日漏洞,一个被积极利用,另一个被公开披露。
如果某个漏洞被公开披露或被积极利用但没有可用的官方修复程序,Microsoft 会将其归类为零日漏洞。
在今天的更新中修复的被积极利用和公开披露的零日漏洞是:
CVE-2022-44698 - Will Dormann 发现的 Windows SmartScreen 安全功能绕过漏洞。
“攻击者可以制作一个恶意文件来逃避网络标记 (MOTW) 防御,从而导致完整性和可用性的安全功能(例如 Microsoft Office 中的受保护视图)的完整性和可用性的损失有限,这些功能依赖于 MOTW 标记。”
威胁参与者通过创建使用格式错误的签名进行签名的恶意独立 JavaScript 文件来利用此漏洞 。
当以这种方式签名时,它会 导致 SmartCheck 出错 并且不显示 Web 安全警告标记,从而允许恶意脚本自动运行和安装恶意软件。
威胁行为者在众多恶意软件分发活动中积极利用此漏洞,包括 传播 QBot 木马 和 Magniber 勒索软件的活动。
另一个公开披露的漏洞是:
CVE-2022-44710 - Luka Pribanić 发现的DirectX 图形内核特权提升漏洞。
“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。”
其他公司的最新更新
其他在 2022 年 12 月发布更新的供应商包括:
-
Cisco 发布了Cisco IP Phone 7800 和 8800 电话的安全更新。
-
Citrix针对 Citrix ADA 和 Gateway 中的“严重”和主动利用 RCE 漏洞发布了安全更新。
-
Fortinet 针对 FortiOS 中主动利用 SSL-VPN 漏洞发布了安全更新。
-
谷歌 发布了 Android 的 12 月安全更新。
-
SAP发布了 2022 年 12 月补丁日更新。
原文始发于微信公众号(祺印说信安):微软2022年12月份于周二补丁日针对49个漏洞发布安全补丁,2个零日
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论