当前位置: windows系统之家 > 微软资讯 > 微软2022年10月补丁日修复了84个漏洞,Exchange 0day未修复
两个Exchange服务器漏洞在9月下旬公开,当时越南网络安全公司GTSC报告说,8月份看到两个以前未知的Exchange漏洞被针对关键基础设施。微软分析后确定这是有国家背景的高级威胁团队进行的针对10个组织的高度针对性0day攻击。
两个0day漏洞包括被一个服务器端请求伪造 (SSRF)漏洞,可用于权限提升 (CVE-2022-41040) 和一个远程代码执行漏洞(CVE-2022-41082),这两个漏洞也被称为 ProxyNotShell。
在今天补丁日更新中修复的 84 个漏洞,有 13 个被归类为“严重”,这些漏洞允许特权提升、欺骗或远程执行代码,这是最严重的漏洞类型之一。
本月漏洞信息按性质分类:
39个特权提升漏洞2个安全功能绕过漏洞20个远程执行代码漏洞11个信息泄露漏洞8个拒绝服务漏洞4个欺骗漏洞上述计数不包括本月微软在Edge浏览器中修复的 12 个漏洞。
详细信息可以参考微软本月安全更新指南:https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct
本月补丁日修复了两个公开的0day漏洞,一个在攻击中被积极利用,另一个被公开披露。
今天修复的被积极利用的0day漏洞编号为“CVE-2022-41033“,Windows COM +事件系统服务特权提升漏洞”,成功利用此漏洞的攻击者可以获得系统权限,该漏洞由“匿名”研究人员发现。
公开披露的0day漏洞编号为“CVE-2022-41043”,微软Office信息泄露漏洞,攻击者利用此漏洞来获取对用户身份验证令牌的访问权限。
其他主要科技公司也于近期发布10月安全更新,包括:
苹果发布iOS 16.0.3,修复了邮件拒绝服务漏洞;思科本月发布了许多产品的安全更新;Fortinet 发布了针对主动利用的身份验证绕过漏洞的安全更新;谷歌发布了安卓的十月安全更新;SAP 发布了 2022 年 10 月补丁日更新;VMware 发布了针对 VMware ESXi 漏洞和 vCenter 服务器漏洞的安全更新。
微软资讯推荐
win10系统推荐
系统教程推荐