Microsoft 日前發布 2022 年 4 月份的例行性資安更新包(Patch Tuesday);在這次發表的資安更新包中,一共修復多達 119 個資安漏洞,包含 2 個 0-day 漏洞,更有 10 個漏洞屬於嚴重(Critical)等級。
各種 Microsoft 軟體產品的用戶與系統管理員,應立即按照指南進行更新,以減少遭駭侵者利用已知漏洞發動資安攻擊的風險。
這次 Microsoft Patch Tuesday 更新修復的漏洞,依漏洞類型區分如下:
- 執行權限提升漏洞:47 個;
- 遠端執行任意程式碼漏洞:47 個;
- 資訊洩露漏洞:13 個;
- 分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)漏洞:4 個;
- 詐騙(Spoofing)漏洞:3 個;
- Edge(Chromium)瀏覽器組件漏洞:26 個。
這次修復的兩個 0-day 漏洞分別如下:
- CVE-2022-26904:存於 Windows User Profile Service 的執行權限提升漏洞,該漏洞證實已遭外界駭侵者大規模濫用於發動攻擊。
- CVE-2022-24521:存於 Windows Common Log 檔案系統驅動程式之中;該漏洞是由 Crowdstrike 與美國國家安全局(National Security Agency, NSA)發現。
資安專家指出,駭侵者經常利用已公開但未經修補完成的漏洞發動攻擊,因此各類微軟產品的用戶,應該立即依指示更新至最新版本,以免未及修補的漏洞,成為駭侵攻擊的破口。
本文轉載自TWCERT/CC。