Microsoft 日前推出 2022 年 12 月例行資安更新修補包「Patch Tuesday」,共修復 49 個資安漏洞,其中有 6 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 2 個 0-day 漏洞也獲得修復,其中有 1 個已知遭用於攻擊活動。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
- 權限提升漏洞:19 個;
- 資安防護功能略過漏洞:2 個;
- 遠端執行任意程式碼漏洞:23 個;
- 資訊洩露漏洞:3 個;
- 服務阻斷(Denial of Service)漏洞:3 個;
- 假冒詐騙漏洞:1 個。
上述在這次 Patch Tuesday 中獲得修補的漏洞,並未包括 25 個於 12 月 5 日推出資安修補包的 Microsoft Edge 瀏覽器。
本月修復的 2 個 0-day 漏洞如下:
- CVE-2022-44698:Windows SmartScreen 資安防護功能略過漏洞;該漏洞證實已遭駭侵者利用假造簽署的特製 JavaScript 用於攻擊活動之中;
- CVE-2022-44710:Microsoft DirectX Kernel 執行權限提升漏洞;駭侵者可利用此漏洞,將己身的執行權限提升到系統等級。
鑑於 Microsoft 軟體產品眾多,建議所有用戶與系統管理者應立即套用這次的 Patch Tuesday 資安更新,以免遭駭侵者利用已知的未修補漏洞發動攻擊,造成不必要的損失。
本文轉載自TWCERT/CC。