微软三月补丁更新修复3个0day漏洞

图片[1]-微软三月补丁更新修复3个0day漏洞-安全小天地

微软本月的累积更新如期而至,共修复了包括三个0day在内的71个漏洞(另外还有21个Microsoft Edge漏洞)。漏洞主要影响到.NET和Visual Studio、Azure、Microsoft Defender、Exchange Server、Edge(基于Chromium)、Office、Windows RDP、SMB Server等组件。

各类型漏洞数量一览:

25个权限提升漏洞;

3个安全功能绕过漏洞;

29个远程代码执行漏洞;

6个信息泄露漏洞;

4个拒绝服务漏洞;

3个欺骗漏洞;

21个Edge – Chromium漏洞。

三个0day漏洞分别为远程桌面客户端远程代码执行漏洞(CVE-2022-21990)、Windows传真和扫描服务权限提升漏洞(CVE-2022-24459)、.NET和Visual Studio远程代码执行漏洞(CVE-2022-24512)。这些漏洞均没有被用于攻击,不过微软表示其中CVE-2022-21990和CVE-2022-24459存在公开的概念证明(POC)。

微软认为具有较高风险的还有另外两个漏洞:

Windows SMBv3 客户端/服务器远程代码执行漏洞(CVE-2022-24508)。成功利用此漏洞需要有效的凭据,攻击者可以利用其进行网络内的横向移动。

Microsoft Exchange Server 远程代码执行漏洞(CVE-2022-23277)。Exchange Server 中的该漏洞允许经过身份验证的攻击者以服务器帐户为目标,通过网络调用以提升的权限执行代码。该漏洞源于服务器未正确处理内存中的对象。

Windows用户可前往“开始-设置-更新和安全-Windows更新”进行更新补丁安装。

 

关于本次累积更新的更多详情请前往微软官网:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Mar

资讯来源:Microsoft Security


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容