Microsoft wypuszcza łatkę we wtorek, aby naprawić 121 luk

Microsoft wydał poprawkę we wtorek sierpnia 2022, aby naprawić 121 luk bezpieczeństwa znalezionych w jego produktach, w tym takich jak Exchange Server, a także klasyczny system Windows i Office.

Spośród 121 naprawionych luk w zabezpieczeniach 17 zostało ocenionych jako krytyczne, 102 jako ważne, 1 jako umiarkowana, a 1 jako o niskim ryzyku. Spośród nich tylko dwa były publicznie znane w momencie wydania łatki. Należy zauważyć, że Microsoft Edge, przeglądarka internetowa oparta na Chromium, jest w innej lidze, z 25 oddzielnymi poprawkami błędów między końcem lipca a końcem ubiegłego tygodnia.

Gigant z Redmond, ze wszystkiego, co zostało załatane, wyizolował lukę, która otworzyła drzwi do zdalnego wykonania kodu za pomocą Microsoft Performance and Resource Monitor (MSDT), narzędzia Windows, które tworzy raport o stanie lokalnych zasobów sprzętowych, systemu czasy odpowiedzi i lokalne procesy komputerowe wraz z informacjami o systemie i danymi konfiguracyjnymi. Wykorzystanie luki w zabezpieczeniach wymagało od użytkownika otwarcia pliku stworzonego specjalnie w tym celu, więc techniki takie jak phishing i oszustwa są wprowadzane poprzez pobranie pliku hostowanego na złośliwej stronie internetowej lub za pośrednictwem poczty e-mail.

Zdalne wykonanie kodu znalezione w MSDT, zidentyfikowane jako CVE-2022-34713 , nie jest jedyną luką w narzędziu, ponieważ Microsoft załatał inną lukę tego samego typu, oznaczoną jako CVE-2022-35743 .

Kontynuując zdalne wykonywanie, odnajdujemy poprawki dla tego typu luki w zabezpieczeniach stosowane w protokołach Windows Point-to-Point (PPP), Windows Secure Sockets Tunneling Protocol (SSTP), Azure RTOS GUIX Studio , Microsoft Office i Hyper-V hiperwizor. w systemie operacyjnym Windows.

Innym znanym typem luki jest eskalacja uprawnień. W programie Exchange Server wykryto trzy luki tego typu ( CVE-2022-21980 , CVE-2022-24477 i CVE-2022-24516 ), które można wykorzystać do odczytywania niektórych wiadomości e-mail i pobierania zawartych w nich załączników. strony, dobrze znana luka w zabezpieczeniach ( CVE-2022-30134 ) została naprawiona w tym samym komponencie , umożliwiając zrobienie tego samego.

Patch Tuesday jest odpowiedzialny za naprawienie dziesiątek luk w zabezpieczeniach polegających na eskalacji uprawnień, z których 31 znaleziono w Azure Site Recovery . Jest to dodatek do tego, co firma zrobiła miesiąc temu, kiedy naprawiła trzydzieści takich błędów w Business Continuity Service, pięć w Storage Spaces Direct , trzy w samym rdzeniu Windows i dwie w module bufora wydruku.

Publikowanie tego typu łatek naprawiających dużą liczbę luk w pakietach jest powszechne wśród rozwiązań programowych osiągających określony rozmiar. Istnieją również, choć prawdopodobnie publikowane w innych formatach i z różną kadencją, dla dystrybucji Linuksa, Androida, rozwiązań Adobe, produktów Intel itp.