微軟 Patch Tuesday 安全更新修補 Office、HTTP 協定重大漏洞

微軟本周三釋出2022年1月的Patch Tuesday每月安全更新,修補微軟Office、Windows HTTP協定和Exchange Server等96項漏洞,包括9項重大風險漏洞。

微軟本周三釋出 2022 年 1 月的 Patch Tuesday 每月安全更新,修補微軟 Office、Windows HTTP 協定和 Exchange Server 等 96 項漏洞,包括 9 項重大風險漏洞。

此次漏洞涵括 Windows 、Windows 元件、Edge (Chromium-based)、Exchange Server、Office 及 Office 元件、SharePoint 、.NET Framework,、Microsoft Dynamics、Windows Hyper-V、Defender 及 Remote Desktop Protocol (RDP) 等。本次也修補了 6 項零時差漏洞,不過微軟表示沒有跡象顯示有任何漏洞已經遭到攻擊。

其中微軟特別點出編號 CVE-2022-21907 的漏洞,影響利用 HTTP 協定堆疊 (http.sys) 處理封包的 Windows Server,未經授權的攻擊者可傳送惡意封包來開採漏洞。微軟指出,這是項「wormable」的漏洞,意謂惡意程式可經由一台受害的伺服器在不經用戶互動下,擴及其他有漏洞的機器。該漏洞風險值被列為 9.8(10 分為滿分)。

另一重大遠端程式碼執行 (remote code execution, RCE) 漏洞為 CVE-2022-21840,影響 Office 的漏洞。微軟指出,攻擊者可能傳送惡意檔案誘使其開啟檔案來開採這項漏洞。該漏洞風險值 8.8,但微軟這波更新尚未能修補 Office 2019 for Mac 及 Office LTSC for Mac。

安全專家分析,大部份 Office 中的 RCE 漏洞只列為重要,是因為通常需要使用者動作且開啟文件時也會有警告對話框,但這隻漏洞攻擊並不會觸發警告對話框。

CVE-2022-21846 則是由美國國安局 (National Security Agency) 通報 的 Exchange Server 漏洞,被列為開採風險高 (CVSS 9.0)。這也是本周修補的 3 個 Exchange Server 漏洞之一,另二個為 CVE-2022-21969 和 CVE-2022-21855。

不過不像去年的 ProxyLogon 及 ProxyShell 漏洞可遠端開採。這 3 項 Exchange Server 漏洞需要攻擊者和目標機器在同一網路上才能開採。

其他零時差漏洞包括存在 Windows 中的開源 cURL 函式庫 RCE 漏洞 CVE-2021-22947,可能導致中間人攻擊 (man-in-the-middle, MiTM) 以及 Active Directory Domain Service 的 CVE-2022-21857。兩者皆被列為重大風險。

其他分別為 Virtual Machin IDE Drive 的 CVE-2022-21833、DirectX Graphics Kernel 的 CVE-2022-21912 和 CVE-2022-21898、以及 HEVC Video Extensions 的 CVE-2022-21917,皆為列為重要 (important) 風險。

來源:ThreatPost

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416