張貼日期:2022/07/27

【資安漏洞預警】Microsoft 推出 2022 年 7 月 Patch Tuesday 資安更新包,請盡快進行更新

  • 主旨說明:Microsoft 推出 2022 年 7 月 Patch Tuesday 資安更新包,請盡快進行更新


  • 內容說明:
    • 轉發 科學園區資安資訊分享與分析中心 SPISAC-ANA-202207-0005。
    • Microsoft 發布 2022 年 7 月的資安更新包(Patch Tuesday)一共修復多達 84 個資安漏洞,包含 1 個 0-day 漏洞(CVE-2022-22047)和4 個Critical漏洞。
    • CVE-2022-22047漏洞位於客戶端/伺服器端執行時子系統(Client/Server Runtime Subsystem,CSRSS),為一權限擴張漏洞,成功開採將允許駭客取得系統(SYSTEM)權限,並已遭駭客開採。雖然CVE-2022-22047僅被列為重要(Important)漏洞,但資安專家仍建議微軟用戶應優先修補。
    • 4個重大漏洞中,CVSS風險評分達8.8的是CVE-2022-30221,它藏匿在Windows圖形元件中,駭客只要說服使用者連向一個惡意的RDP(遠端桌面協定)伺服器,就能開採該漏洞並於受害系統上執行程式。
    • 這次 Microsoft Patch Tuesday 更新修復的漏洞,依漏洞類型區分如下:
      • 執行權限提升漏洞:52 個。
      • 資安防護功能跳過漏洞:4 個。
      • 遠端執行任意程式碼漏洞:12 個。
      • 資訊洩露漏洞:11 個。
      • 分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)漏洞:5 個。
  • 影響平台:Windows
  • 建議措施:利用Windows Update更新至最新版本
  • 參考資料:

計算機與通訊中心
網路系統組 敬啟