Microsoft 日前發布 2022 年 4 月份的例行性資安更新包（Patch Tuesday）；在這次發表的資安更新包中，一共修復多達 119 個資安漏洞，包含 2 個 0-day 漏洞，更有 10 個漏洞屬於嚴重（Critical）等級。

各種 Microsoft 軟體產品的用戶與系統管理員，應立即按照指南進行更新，以減少遭駭侵者利用已知漏洞發動資安攻擊的風險。

這次 Microsoft Patch Tuesday 更新修復的漏洞，依漏洞類型區分如下：

• 執行權限提升漏洞：47 個；
• 遠端執行任意程式碼漏洞：47 個；
• 資訊洩露漏洞：13 個；
• 分散式服務阻斷攻擊（Distributed Denial of Service, DDoS）漏洞：4 個；
• 詐騙（Spoofing）漏洞：3 個；
• Edge（Chromium）瀏覽器組件漏洞：26 個。

這次修復的兩個 0-day 漏洞分別如下：

• CVE-2022-26904：存於 Windows User Profile Service 的執行權限提升漏洞，該漏洞證實已遭外界駭侵者大規模濫用於發動攻擊。
• CVE-2022-24521：存於 Windows Common Log 檔案系統驅動程式之中；該漏洞是由  Crowdstrike 與美國國家安全局（National Security Agency, NSA）發現。

資安專家指出，駭侵者經常利用已公開但未經修補完成的漏洞發動攻擊，因此各類微軟產品的用戶，應該立即依指示更新至最新版本，以免未及修補的漏洞，成為駭侵攻擊的破口。