6 исправленных уязвимостей получили наивысший рейтинг серьезности «Критический», так как способствуют удаленному выполнению кода, спуфингу или повышению привилегий.
Классификация уязвимостей по типу:
- 19 уязвимостей повышения привилегий
- 2 уязвимости обхода функций безопасности
- 13 уязвимостей удаленного выполнения кода
- 3 уязвимости раскрытия информации
- 3 уязвимости отказа в обслуживании
- 1 уязвимость спуфинга
Данный список не включает 25 исправленных в Microsoft Edge уязвимостей.
Для установки доступны следующие обновления:
- Обновление KB5021255 (Build 22621.963) для Windows 11, версия 22H2
- Обновление KB5021234 (Build 22000.1335) для Windows 11, версия 21H2
- Обновление KB5021233 для Windows 10, версия 22H2, 21H2 и 21H1
- Обновления безопасности для Windows 7 и Windows 8.1
Исправлены две уязвимости нулевого дня
В этот «Вторник Патчей» Microsoft исправила две уязвимости нулевого дня, одна из которых активно эксплуатировалась и была публично раскрыта.
Microsoft расценивает уязвимость как уязвимость нулевого дня, если она была публично раскрыта или активно используется до выхода официального патча.
Исправлены следующие уязвимости:
CVE-2022-44698 — Уязвимость обхода функции безопасности Windows SmartScreen.
Microsoft пояснила:
Злоумышленник может создать вредоносный файл, который сможет обойти защиту Mark of the Web (MOTW), что приведет к ограниченной потере целостности и доступности функций безопасности, таких как защищенный просмотр в Microsoft Office, который использует теги MOTW.
Злоумышленники воспользовались этой уязвимостью, создав вредоносные скрипты JavaScript, подписанные с использованием искаженной подписи.
Подобная подпись приводит к тому, что SmartCheck выдает ошибку и не отображает предупреждения безопасности Mark of the Web, что позволяет запускать вредоносные сценарии и автоматически устанавливать вредоносное ПО.
Уязвимость активно использовалась в многочисленных кампаниях по распространению вредоносных программ, в том числе по распространению трояна QBot и программы-вымогателя Magniber.
CVE-2022-44710 — уязвимость повышения привилегий в графическом ядре DirectX.
В бюллетене сообщается:
Успешная эксплуатация этой уязвимости требует, чтобы злоумышленник выиграл состояние гонки. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.
Обновления от других компаний
- Компания Cisco выпустила обновления безопасности для многих своих продуктов.
- Компания Citrix выпустила патч против критического обход аутентификации в Citrix ADA и Citrix Gateway.
- Компания Fortinet выпустила обновления безопасности против уязвимости SSL-VPN в FortiOS.
- Компания Google выпустила обновления безопасности для Android.
- Компания SAP выпустила обновления безопасности.
Последние статьи #Windows
• Мини-ПК Windows 365 Link от Microsoft поступил в продажу — опубликованы полные характеристики и цена
• Windows 11 становится популярнее среди геймеров. Доля Linux – на уровне 2,33%
• Microsoft упростила загрузку фото с телефона в Microsoft 365 Copilot на ПК
• Microsoft Word теперь обобщает документы до 3000 страниц
• Microsoft расширяет возможности Copilot+ ПК на ноутбуки с процессорами Intel и AMD
• Как установить Windows 11 без Интернета и учетной записи Microsoft: официальный способ