微軟4月補丁預測

Windows11的安全增強功能

微軟一直致力于在多個領域進行安全改進。

近期，微軟宣布了一系列針對Windows 11的安全增強功能，為其“芯片到云”提供保護。這些安全增強功能利用了新的Pluton安全處理器芯片級的硬件協助，通過Windows Defender SmartScreen提供的云保護，防止網絡釣魚活動的發生和惡意軟件的注入。功能中還包括憑據保護、配置鎖定、個人數據保護和管理程序保護的代碼完整性(HVCI)默認增強功能。

此外，微軟還宣布即將推出針對Windows Enterprise E3客戶的Autopatch服務。

Spring4Shell

本月的熱門漏洞CVE-2022-22965（又稱“Spring4Shell”或 SpringShell”），在用于支持應用程序開發的Java平臺Spring Framework中是最熱門的。

最新報告顯示，雖然許多平臺可能包含此漏洞，但由于特定的環境配置，只有一小部分平臺可以利用它。就像Log4j一樣，用戶應該掃描系統并更新到最新版本以進行漏洞修復。

蘋果和VMware

蘋果公布了兩個零日漏洞（CVE-2022-22675和CVE-2022-22674），并提供了iOS 15和Monterey更新。Catalina和Big Sur的更新仍需等待。

值得一提的是VMware發布的安全公告VMSA-2022-011中的漏洞。這8個漏洞影響了5個不同產品的多個版本，包括VMware Workspace ONE Access，其中5個被評定為嚴重漏洞，其CVSS評分在9.1到9.8之間。與Spring和蘋果的漏洞不同，這8個漏洞并沒有被在野利用。

CISA目錄

美國網絡安全和基礎設施安全局（CISA）將繼續對俄羅斯不斷增加的活動作出反應，定期添加已知的被利用漏洞，目前，其目錄中有616個條目。美國政府機構須在所示日期之前解決相關漏洞。同時，該目錄也為所有尋找高優先級漏洞并進行修復的人提供了參考。

2022年4月補丁星期二預測

操作系統更新將包括Windows 7和Server 2008的擴展安全更新(ESU)。Microsoft Office和 Exchange Server將會有一些小的更新。

Adobe將對Acrobat和Reader進行重大更新，但其尚未發布預告。

iOS 15和Monterey的零日漏洞已經發布，因此請留意Catalina和Big Sur類似的更新。

谷歌近日發布了ChromeOS設備長期支持渠道96.0.4664.204包含的三個高評級漏洞。此外，適用于Windows、Mac和Linux的Desktop桌面應用程序100.0.4896.75的穩定頻道更新也已發布。該更新僅包含一個評級為“高”的安全修復程序。

Mozilla已發布了Firefox 99、Firefox ESR 91.8和Thunderbird 91.8的更新，因此近日可能不會再有更新。

Oracle關鍵補丁更新 (CPU) 將于4月19日發布。通過Log4j和Spring等與Java相關的活動，可以預測這次更新中將可以看到大量CVE漏洞。