当前位置: windows系统之家 >  微软资讯 >  微软2022年10月补丁日修复了84个漏洞,Exchange 0day未修复

微软2022年10月补丁日修复了84个漏洞,Exchange 0day未修复

更新时间:2022-10-12 20:33:08作者:bjjmlv

微软2022年10月补丁日修复了84个漏洞,Exchange 0day未修复

今天是微软2022年10月补丁日,微软本月修复总共84个安全漏洞。引起广泛关注并被积极利用的两个Exchange 服务器0day漏洞(CVE-2022-41040 和 CVE-2022-21082)尚未修复。

两个Exchange服务器漏洞在9月下旬公开,当时越南网络安全公司GTSC报告说,8月份看到两个以前未知的Exchange漏洞被针对关键基础设施。微软分析后确定这是有国家背景的高级威胁团队进行的针对10个组织的高度针对性0day攻击。

两个0day漏洞包括被一个服务器端请求伪造 (SSRF)漏洞,可用于权限提升 (CVE-2022-41040) 和一个远程代码执行漏洞(CVE-2022-41082),这两个漏洞也被称为 ProxyNotShell。

在今天补丁日更新中修复的 84 个漏洞,有 13 个被归类为“严重”,这些漏洞允许特权提升、欺骗或远程执行代码,这是最严重的漏洞类型之一。

本月漏洞信息按性质分类:

39个特权提升漏洞2个安全功能绕过漏洞20个远程执行代码漏洞11个信息泄露漏洞8个拒绝服务漏洞4个欺骗漏洞

上述计数不包括本月微软在Edge浏览器中修复的 12 个漏洞。

详细信息可以参考微软本月安全更新指南:http://msrc.microsoft.com/update-guide/releaseNote/2022-Oct

本月补丁日修复了两个公开的0day漏洞,一个在攻击中被积极利用,另一个被公开披露。

今天修复的被积极利用的0day漏洞编号为“CVE-2022-41033“,Windows COM +事件系统服务特权提升漏洞”,成功利用此漏洞的攻击者可以获得系统权限,该漏洞由“匿名”研究人员发现。

公开披露的0day漏洞编号为“CVE-2022-41043”,微软Office信息泄露漏洞,攻击者利用此漏洞来获取对用户身份验证令牌的访问权限。

其他主要科技公司也于近期发布10月安全更新,包括:

苹果发布iOS 16.0.3,修复了邮件拒绝服务漏洞;思科本月发布了许多产品的安全更新;Fortinet 发布了针对主动利用的身份验证绕过漏洞的安全更新;谷歌发布了安卓的十月安全更新;SAP 发布了 2022 年 10 月补丁日更新;VMware 发布了针对 VMware ESXi 漏洞和 vCenter 服务器漏洞的安全更新。

相关教程