微軟八月補丁日:修復了121個漏洞,包括已被積極利用的0day
今天是微軟例行補丁日,微軟發布了2022年8月安全公告,修復了121個安全漏洞,其中包括被積極利用的“DogWalk”0day漏洞。騰訊安全專家建議所有受影響用戶盡快升級安裝補丁,推薦采用Windows更新、騰訊電腦管家、騰訊零信任iOA的漏洞掃描修復功能安裝。
在今天修復的 121 個漏洞中有 17 個被歸類為“嚴重”,嚴重級漏洞允許遠程代碼執行(RCE)或特權提升。
104個歸類為“重要”,按漏洞性質分類如下:
- 64個提權漏洞
- 6個安全功能繞過漏洞
- 31個遠程代碼執行漏洞
- 12個信息泄露漏洞
- 7個拒絕服務漏洞
- 1個欺騙漏洞
以上計數不包括在Microsoft Edge瀏覽器中修復的 20 個漏洞,通常Edge漏洞的修復與Chrome同步。
本月安全更新包含以下產品、功能和角色:
- .NET Core
- Active Directory 域服務
- Azure 批處理節點代理
- Azure 實時操作系統
- Azure Site Recovery
- Azure Sphere
- Microsoft ATA 端口驅動程序
- Microsoft 藍牙驅動程序
- Microsoft Edge(基于 Chromium)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Windows 支持診斷工具 (MSDT)
- 遠程訪問服務點對點隧道協議
- 角色:Windows 傳真服務
- 角色:Windows Hyper-V
- System Center Operations Manager
- Visual Studio
- Windows 藍牙服務
- Windows 規范顯示驅動程序
- Windows Cloud Files Mini Filter Driver
- Windows Defender Credential Guard
- Windows 數字媒體
- Windows 錯誤報告
- Windows Hello
- Windows Internet Information Services
- Windows Kerberos
- Windows Kernel
- Windows 本地安全機構 (LSA)
- Windows 網絡文件系統
- Windows Partition Management Driver
- Windows 點對點隧道協議
- Windows 打印后臺處理程序組件
- Windows 安全啟動
- Windows 安全套接字隧道協議 (SSTP)
- Windows 存儲空間直通
- Windows 統一寫入篩選器
- Windows WebBrowser 控件
- Windows Win32K
值得關注的重點漏洞:
本月補丁日,微軟修復了兩個被披露的0day漏洞,其中一個被積極利用。
0day漏洞是指,漏洞被公開披露或被積極利用時,沒有官方提供的漏洞修復程序。漏洞處于0day狀態的時期,是漏洞風險最大的時期。
今天修復的被積極利用的0day漏洞又被稱為“DogWalk”,漏洞編號為CVE-2022-34713,Microsoft Windows支持診斷工具 (MSDT) 遠程代碼執行漏洞。
這個漏洞是安全研究員Imre Rad在2020年1月首次發現了這個漏洞,在發現Microsoft Office MSDT漏洞后,安全研究人員再次推動修復 DogWalk 漏洞,這是今天更新的一部分。
另一個0day漏洞編號為CVE-2022-30134,Microsoft Exchange 信息泄露漏洞”,允許攻擊者讀取目標電子郵件,目前該漏洞尚未發現在野利用。
以下是 2022 年 8月補丁日微軟安全更新公告的完整列表:
更多信息,參考微軟官方安全更新發行說明:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug
