微软10月份月度安全漏洞预警

漏洞预警 发布时间:2022-10-24 17:13:47 70 浏览
01
概要

      近日,华为云关注到微软发布2022年10月份安全补丁更新,共披露了84个安全漏洞,其中13个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括:Microsoft Windows、Microsoft Office 、Microsoft Visual Studio、.NET 等组件。

     本次用户需关注如下存在细节已公开/已出现在野攻击利用的漏洞:

    Windows COM+ 事件系统服务特权提升漏洞(CVE-2022-41033):0day漏洞,由于 COM+ 事件系统服务中的缺陷导致。经过身份认证的攻击者利用漏洞可以获得系统特权,目前已出现在野利用,风险高。

   Microsoft Office 信息泄露漏洞(CVE-2022-41043):0day漏洞,是一个影响 Microsoft  Office for Mac 的信息泄露漏洞,该漏洞细节已被公开披露,风险高。

     此外,官方标记为更有可能被利用的漏洞有12个(如:CVE-2022-41038、CVE-2022-34689等),详情请查看官方公告,华为云提醒用户及时安全自检并做好安全加固以降低被攻击的风险。

     微软官方说明:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct


02


漏洞级别

   

                      漏洞级别:【严重】


    (说明:漏洞级别共四级:一般、重要、严重、紧急。)


03




影响范围

   Microsoft Windows、Microsoft Office 、Microsoft Visual Studio、.NET 等产品。

04
严重漏洞说明详情

   CVE编号

   漏洞名称
 严重程度
  影响产品
CVE-2022-37979

Windows Hyper-V 特权提升漏洞

 严重

Windows 10、Windows 11、Windows Server 2016/2019/2022
 

CVE-2022-41081

CVE-2022-24504

CVE-2022-33634

CVE-2022-38047

 Windows 点对点隧道协议远程代码执行漏洞 严重
 Windows 10、Windows 8.1/RT 8.1、Windows 11、Windows 7、Windows Server 2008/2008R/2012/2012R/2016/2019/2022
CVE-2022-37976

Active Directory 证书服务特权提升漏洞

 严重

Windows Server 2008/2008R/2012/2012R/2016/2019/2022
CVE-2022-30198
CVE-2022-22035
CVE-2022-38000		 Windows 点对点隧道协议远程代码执行漏洞 严重


Windows 10、Windows 8.1/RT 8.1、Windows 11、Windows 7、Windows Server 2008R/2012/2012R/2016/2019/2022
CVE-2022-34689 Windows CryptoAPI 欺骗漏洞    严重 Windows 10、Windows 8.1/RT 8.1、Windows 11、Windows 7、Windows Server 2008/2008R/2012/2012R/2016/2019/2022
CVE-2022-41038

Microsoft SharePoint Server 远程执行代码漏洞

 严重
 Microsoft SharePoint Enterprise Server 2013/2016、Microsoft SharePoint Server 2019、Microsoft SharePoint Foundation 2013、Microsoft SharePoint Server Subscription Edition
CVE-2022-37968 Azure Arc Connect 特权提升漏洞 严重

Azure Stack Edge、Azure Arc-enabled Kubernetes cluster 1.5.8/ 1.6.19/ 1.7.18/ 1.8.11
CVE-2022-38048 Microsoft Office 远程执行代码漏洞 严重
 Microsoft Office 2013/2013 RT/2016/2019/ LTSC 2021、Microsoft Office LTSC for Mac 2021、Microsoft Office 2019 for Mac、 Microsoft 365 Apps for Enterprise

注:以上为微软Critical漏洞,其他漏洞及详情请参见微软官方说明

05


安全建议

1、可通过Windows Update自动更新微软补丁修复漏洞,也可以手动下载补丁,补丁下载地址:

https://msrc.microsoft.com/update-guide/

2、为确保数据安全,建议重要业务数据进行异地备份。
注意:修复漏洞前请将数据和资料备份,并进行充分测试。




华为涪陵云计算大数据中心

Mobile: +86 15320629591(郭正正)               +86 15346597115(黄梁)

Emailhuangliang42@huawei.com

中国(China)-重庆-涪陵区聚业大道39(华为涪陵云计算大数据中心)


   

扫码关注我们




免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

【漏洞预警】Redis Lua 远程代码执行漏洞

漏洞预警 | 飞企互联FE业务协作平台SQL注入、远程代码执行和任意文件上传漏洞

7-Zip高危漏洞预警:关于CVE-2025-0411漏洞的应对指南

【漏洞预警】Rsync缓冲区溢出漏洞风险通告

漏洞预警 | 飞企互联FE业务协作平台SQL注入、远程代码执行和任意文件上传漏洞

漏洞预警 | 九思OA任意文件读取漏洞