吳明宜微軟釋出了今年最後一次Patch Tuesday,修補了49項漏洞,包括2個已經公開的漏洞。
又來到年底,微軟釋出了今年最後一次 Patch Tuesday,修補了 49 項漏洞,包括 2 個已經公開的漏洞。
49 項漏洞中,包括 19 項權限擴張漏洞,2 項安全功能規避漏洞、 3 項遠端程式碼執行 (RCE) 漏洞、 3 項資訊洩露及阻斷服務 (DoS) 漏洞,以及 1 項冒用身份的漏洞。這 49 項漏洞不包含 25 項本月稍早修補的 Edge 瀏覽器漏洞。
本月有 2 項零時差漏洞,一為已遭開採,另一則是已經公開。已遭開採的漏洞為 CVE-2022-44698,屬於 Windows SmartScreen 安全功能漏洞。 SmartScreen 為 Defender 下可防止釣魚網站、以及防範下載有害軟體的工具。
這漏洞是由安全專家 Will Dormann 揭露。它讓攻擊者可製作惡意檔案,繞過 Mark of the Web (MoTW),用戶從網路下載 Office 檔案時,不會觸發以「受保護的檢視」(Protected View) 開啟。攻擊者利用變造過的微軟簽章來簽發 JavaScript 檔,這使得惡意檔案可能造成 SmartCheck 功能失靈而不會顯示 MoTW 警告,允許惡意程式碼自動執行及安裝。研究人員發現已有數起惡意程式傳播,包括散佈 QBot 木馬及 Magniber 勒索軟體的攻擊。
另一項零時差漏洞則是 CVE-2022-44710,為 DirectX 圖形核心 (Graphics Kernel) 子系統權限擴充漏洞。濫用本漏洞需要攻擊者贏取競爭條件(race condition)。濫用成功的攻擊者可取得系統權限。