背景圖片/photo by jussara romaoon unsplash

微軟8日釋出今年2月的Patch Tuesday,總計修補了51個安全漏洞,當中有一個零時差漏洞,罕見的是,微軟此次所修補的,完全沒有重大(Critical)等級的安全漏洞。如果算進微軟本月初跟隨Chromium專案、所修補的19個Microsoft Edge漏洞,那麼2月修補漏洞的總數則是70個。

此次所修補的零時差漏洞為CVE-2022-21989,它是Windows Kernel中的權限擴張漏洞,它的攻擊複雜性高,雖然先前便已被揭露,但尚未看到攻擊程式。

趨勢科技旗下的Zero Day Initiative(ZDI)團隊選出了4個相對重要的漏洞,分別是CVE-2022-21984 、CVE-2022-23280、 CVE-2022-21995與CVE-2022-22005。

其中,CVE-2022-21984為Windows DNS Server的遠端程式攻擊漏洞,該漏洞允許駭客掌控DNS伺服器,並以擴張的權限執行程式碼。雖然該漏洞必須在用戶啟用動態更新之後才會現身,不過這是一個常見的設定,使得ZDI呼籲使用者應將其視為重大漏洞。

CVE-2022-23280則是Microsoft Outlook for Mac的安全功能繞過漏洞,該漏洞將讓圖像自動出現在預覽中,即使已關閉預覽,相關的攻擊只會曝露攻擊目標的IP資訊,但若搭配其它漏洞則可能導致遠端程式執行。

CVE-2022-21995為Windows Hyper-V的遠端程式執行漏洞,起因為Guest to Host逃逸,允許駭客穿越虛擬機的安全邊界,並於主機環境執行程式,儘管有些嚴重,但因攻擊難度較高而未被列為重大等級。

CVE-2022-22005則是SharePoint Server的遠端程式執行漏洞,允許經過身分認證的用戶執行任意的 .NET 程式碼。

上述被ZDI點名的漏洞中,CVE-2022-21984與CVE-2022-22005的CVSS風險評分都達到8.8,同登本月之冠。


熱門新聞

Advertisement