作为8 月份补丁星期二更新的一部分,微软修补了多达121 个新的安全漏洞,其中还包括对支持诊断工具漏洞的修复,该公司表示该漏洞正在被广泛利用。
在 121 个错误中,17 个被评为严重,102 个被评为重要,1 个被评为中等,1 个被评为低严重性。其中两个问题在发布时已被列为公众所知。
值得注意的是,这家科技巨头在上个月底和前一周在其基于 Chromium 的 Edge 浏览器中解决了25 个缺陷之外,还有 121 个安全漏洞。
补丁列表中位居榜首的是CVE-2022-34713(CVSS 评分:7.8),这是一个影响 Microsoft Windows 支持诊断工具 (MSDT) 的远程代码执行案例,使其成为继Follina (CVE-2022 ) 之后同一组件中的第二个漏洞-30190) 将在三个月内在现实世界的攻击中武器化。
据说该漏洞是公开称为DogWalk的漏洞的变体,该漏洞最初由东方联盟网络安全研究人员于 2020 年 1 月披露。
“利用该漏洞需要用户打开一个特制文件,”微软在一份公告中表示。“在电子邮件攻击场景中,攻击者可以通过将特制文件发送给用户并说服用户打开文件来利用该漏洞。”
或者,攻击者可以托管一个网站或利用包含旨在利用该漏洞的恶意软件文件的已受到攻击的站点,然后诱使潜在目标单击电子邮件或即时消息中的链接以打开文档。
国际知名白帽黑客、东方联盟创始人郭盛华说:“这不是一个不常见的媒介,黑客仍然使用恶意文档和链接来产生巨大的影响。它强调了提高技能的员工对此类攻击保持警惕的必要性。”
CVE-2022-34713 是 Redmond 本月关闭的两个 MSDT 远程代码执行漏洞之一,另一个是CVE-2022-35743(CVSS 得分:7.8)。安全研究人员报告了该漏洞。
微软还解决了 Exchange Server 中的三个提权漏洞,这些漏洞可能被滥用来读取目标电子邮件和下载附件(CVE-2022-21980、CVE-2022-24477和CVE-2022-24516)和一个众所周知的信息泄露漏洞( CVE-2022-30134 ) 在 Exchange 中也可能导致相同的影响。
该安全更新进一步修复了 Windows 点对点协议 (PPP)、Windows 安全套接字隧道协议 (SSTP)、Azure RTOS GUIX Studio、Microsoft Office 和 Windows Hyper-V 中的多个远程代码执行漏洞。
周二补丁修复还解决了数十个特权提升漏洞:Azure Site Recovery 中的 31 个,一个月后微软在业务连续性服务中消除了30 个类似的错误,存储空间直通中的五个,Windows 内核中的三个,Windows 内核中的两个打印后台处理程序模块。(欢迎转载分享)文章来源:https://www.toymoban.com/news/detail-458072.html
文章来源地址https://www.toymoban.com/news/detail-458072.html
到了这里,关于8月份补丁更新:微软修补了121个安全漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
