微軟公司日前推出例行資安更新的 2022 年一月「Patch Tuesday」資安修補包,一共修復多達 97 個漏洞,其中更有 6 個 0-day 漏洞;資安專家呼籲微軟各種產品用戶應立即更新。
在這 97 個得到更新的漏洞中,有 9 個列為「嚴重」等級,另有 88 個列為「重要等級」;依其屬性列表如下:
- 41 個漏洞屬於執行權限提升漏洞;
- 9 個漏洞屬於跳過資安防護功能漏洞;
- 29 個遠端執行任意程式碼漏洞;
- 6 個資訊外洩漏洞;
- 9 個服務阻斷漏洞;
- 3 個詐騙假冒漏洞。
9 個嚴重等級的漏洞,分別為 :
- CVE-2022-21846:Microsoft Exchange Server 遠端執行任意程式碼漏洞;
- CVE-2022-21840:Microsoft Office 遠端執行任意程式碼漏洞;
- CVE-2022-21917:HEVC 影音延伸組件遠端執行任意程式碼漏洞;
- CVE-2022-22947:開源 Curl 組件遠端執行任意程式碼漏洞;
- CVE-2022-21857:Active Directory 網域服務權限提升漏洞;
- CVE-2022-21898:DirectX 繪圖核心遠端執行任意程式碼漏洞;
- CVE-2022-21912:DirectX 繪圖核心遠端執行任意程式碼漏洞;
- CVE-2022-21907:HTTP 協定堆疊遠端執行任意程式碼漏洞;
- CVE-2022-21833:虛擬機器 IDE 磁碟權限提升漏洞。
此外,六個得到修補的 0-day 漏洞,目前尚未傳出遭到大規模利用於駭侵攻擊的情報。
本文轉載自TWCERT/CC。