微软 10 月份的补丁星期二更新共解决了85 个安全漏洞,包括针对在野外积极利用的零日漏洞的修复。 在 85 个错误中,15 个被评为严重,69 个被评为重要,1 个被评为中等严重程度。但是,此更新不包括针对Exchange Server中积极利用的 ProxyNotShell漏洞的缓解措施。 这些补丁与更新一起解决了自本月初以来发布的基于 Chromium 的 Edge 浏览器中的其他 12 个缺陷。本月补丁列表中位居榜首的是CVE-2022-41033(CVSS 评分:7.8),这是 Windows COM+ 事件系统服务中的一个提权漏洞。一位匿名研究人员报告了该问题。 “成功利用此漏洞的攻击者可以获得 SYSTEM 权限,”该公司在一份公告中表示,并警告说,这一缺陷正在被现实世界的攻击中积极武器化。 该漏洞的性质还意味着该问题可能与其他漏洞链接在一起,以提升权限并在受感染的主机上执行恶意操作。 “这个特定的漏洞是本地权限提升,这意味着攻击者已经需要在主机上执行代码才能使用这个漏洞,”Immersive Labs 网络威胁研究主管 Kev Breen 说。 其他三个值得注意的提权漏洞与 Windows Hyper-V(CVE-2022-37979,CVSS 分数:7.8)、Active Directory 证书服务(CVE-2022-37976,CVSS 分数:8.8)和支持 Azure Arc 的 Kubernetes 有关集群连接(CVE-2022-37968,CVSS 分数:10.0)。 尽管 CVE-2022-37968 带有“不太可能利用”标签,但微软指出,成功利用该漏洞可能允许“未经身份验证的用户提升他们作为集群管理员的权限,并可能获得对 Kubernetes 集群的控制权”。 在其他地方,CVE-2022-41043(CVSS 分数:3.3)——Microsoft Office 中的一个信息泄露漏洞——在发布时被列为公开信息。微软表示,它可以被利用来泄露用户令牌和其他潜在的敏感信息。 Redmond 还修复了 Windows 内核中的 8 个权限提升漏洞、Windows 点对点隧道协议和 SharePoint Server 中的 11 个远程代码执行错误,以及 Print Spooler 模块中的另一个权限提升漏洞 ( CVE-2022-38028 , CVSS 评分:7.8)。 10 月份,Adobe 发布了四个补丁,解决了 Adobe Acrobat 和 Reader、ColdFusion、Commerce 和 Magento 以及 Adobe Dimension 中的 29 个漏洞。通过 ZDI 计划总共报告了 22 个此类错误。ColdFusion的修复似乎是最关键的,解决了多个 CVSS 9.8 代码执行错误。还修复了管理组件服务中的错误。该服务使用管理员用户的硬编码密码。攻击者可以利用此漏洞绕过系统上的身份验证。很难想象硬编码凭证已经在产品中存在了这么长时间而未被发现。 Commerce 和 Magento更新仅解决了一个错误,但它是 CVSS 10。如果您使用这些产品中的任何一个,请确保您快速测试和部署它以修复存储的跨站点脚本 (XSS) 错误。Acrobat 和 Reader的补丁修复了六个错误,其中最严重的是可能导致代码执行的基于堆栈的缓冲区溢出。威胁参与者需要诱骗某人打开特制的 PDF 以获取任意代码执行。Dimension的修复纠正了九个错误,其中八个被评为严重。其中大部分是文件解析错误,需要用户交互才能利用。 Adobe 本月修复的所有错误均未列为公开已知或在发布时受到主动攻击。Adobe 将这些更新归类为部署优先级 3。 2022 年 10 月的 Microsoft 补丁 本月,微软发布了 85 个新补丁,解决了 Microsoft Windows 和 Windows 组件中的 CVE;Azure、Azure Arc 和 Azure DevOps;Microsoft Edge(基于 Chromium);办公和办公组件;视觉工作室代码;Active Directory 域服务和 Active Directory 证书服务;Nu 获取客户端;超V;和 Windows 弹性文件系统 (ReFS)。这是在 Microsoft Edge(基于 Chromium)中修补的 11 个 CVE 和一个用于 Arm 处理器中的侧通道推测的补丁之外的。这使 CVE 的总数达到 96 个。 可能更有趣的是本月的版本中没有包含的内容。Exchange Server 没有更新,尽管有两个 Exchange 漏洞被积极利用了至少两周。这些 bug 是 ZDI 在 9 月初购买的,当时向微软报告。由于没有可用于完全解决这些错误的更新,管理员可以做的最好的事情是确保安装 2021 年 9 月累积更新 (CU)。这将添加Exchange 紧急缓解服务。这会自动安装可用的缓解措施并将诊断数据发送给 Microsoft。 在今天发布的 85 个新补丁中,15 个被评为严重,69 个被评为重要,一个被评为中等严重程度。这个数量与我们在之前 10 月发布的版本中看到的有些一致,但它确实使微软有望超过 2021 年的总量。如果发生这种情况,2022 年将是 Microsoft CVE 的第二繁忙的一年。本月发布的新 CVE 之一被列为公开已知的,而另一个在发布时被列为在野外。让我们仔细看看这个月的一些更有趣的更新,从受到主动攻击的错误开始: - CVE-2022-41033 - Windows COM+ 事件系统服务特权提升漏洞 - CVE-2022-37987 / CVE-2022-37989 – Windows 客户端服务器运行时子系统 (CSRSS) 特权提升 - CVE-2022-37968 - 支持 Azure Arc 的 Kubernetes 集群连接特权提升漏洞 - CVE-2022-38048 - Microsoft Office 远程代码执行漏洞 |
|