Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi den 11. januar 2022 | Emne: Sikkerhed
Microsoft har udgivet 96 sikkerhedsrettelser, herunder opdateringer til at løse seks nul-dages sårbarheder.
I Redmond-gigantens seneste runde af patches, der normalt udgives den anden tirsdag i hver måned i det, der er kendt som Patch Tuesday, har Microsoft rettet problemer, herunder remote code execution (RCE) udnyttelser, privilegie-eskaleringsfejl, spoofing-problemer og cross-site scripting (XSS) sårbarheder.
Produkter, der er påvirket af januar 2022's sikkerhedsopdatering, omfatter Microsoft Exchange Server, Office-softwarelinjen, Windows Defender, Windows Kernel, RDP, Kryptografiske tjenester, Windows-certifikat og Microsoft Teams.
De nul-dages sårbarheder, der er løst i denne opdatering, er:
CVE-2021-22947: HackerOne tildelt CVE: En open source Curl RCE, der tillader Man-in-The-Middle (MiTM) angreb.CVE-2021-36976: MITER tildelt CVE: En åben kildekode Libarchive use-after-free fejl, der fører til RCE.
CVE-2022-21874: En lokal Windows Security Center API RCE-sårbarhed (CVSS 7.8).
CVE-2022-21919: Et sikkerhedsproblem med Windows User Profile Service Elevation of Privilege (CVSS 7.0), PoC-udnyttelseskode registreret.
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List Denial-of-Service (DoS) (CVSS 6.1).
CVE-2022-21836: Windows-certifikatspoofing, PoC-kode registreret (CVSS 7.8).< br>
Ingen af de ovenstående nul-dage fejl er kendt for at være blevet udnyttet i naturen. I alt 24 sårbarheder blev rettet tidligere på måneden i Microsoft Edge (Chromium-baseret). Ifølge Zero Day Initiative (ZDI) er denne mængde usædvanlig for januar måned, hvor tidligere år ofte er omkring halvdelen af dette antal.
Microsoft har også annonceret et opdateret sikkerhedsopdateringsguide-notifikationssystem, hvor standard-e-mailadresser nu accepteres ved tilmelding i stedet for kun Live ID'er.
Sidste måned offentliggjorde Microsoft 67 sikkerhedsrettelser i december 2021 Patch Tuesday. Syv kritiske sårbarheder var blandt de problemer, der blev rettet, sammen med seks zero-day-sikkerhedsfejl. En af de nul-dage, der blev tacklet, var CVE-2021-43890, en fejl i Windows AppX Installer, der aktivt bliver udnyttet i naturen til at sprede Emotet, Trickbot og Bazaloader malware.
En måned før, teknologigiganten tacklede 55 sårbarheder i løbet af november 2021 Patch Tuesday.
I de seneste Microsoft-nyheder offentliggjorde virksomheden tidligere på måneden en nødrettelse af en fejl, der påvirker lokale Exchange-servere. En fejl ved datotjek forhindrede mail i at bevæge sig jævnt gennem transportkøerne i Exchange Server 2016 og Exchange Server 2019.
Sammen med Microsofts Patch Tuesday-runde vil andre leverandører også udgive sikkerhedsopdateringer, som kan tilgås nedenfor.
Adobe-sikkerhedsopdateringerSAP-sikkerhedsopdateringerVMWare-sikkerhedsrådgivningIntel-sikkerhedsopdateringer
Læs videre:
CES 2022: Microsoft, Qualcomm samarbejder om tilpasset udvidet -reality-chips
Sådan låser du din Microsoft-konto og holder den sikker mod angribere udefra
Malsmoke-hackere misbruger Microsoft-signaturbekræftelse i ZLoader-cyberangreb Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre