• 發布單位:TWCERT/CC
• 更新日期:2022-01-14
• 點閱次數:2877

微軟公司日前推出例行資安更新的 2022 年一月「Patch Tuesday」資安修補包，一共修復多達 97 個漏洞，其中更有 6 個 0-day 漏洞；資安專家呼籲微軟各種產品用戶應立即更新。

在這 97 個得到更新的漏洞中，有 9 個列為「嚴重」等級，另有 88 個列為「重要等級」；依其屬性列表如下：

• 41 個漏洞屬於執行權限提升漏洞；
• 9 個漏洞屬於跳過資安防護功能漏洞；
• 29 個遠端執行任意程式碼漏洞；
• 6 個資訊外洩漏洞；
• 9 個服務阻斷漏洞；
• 3 個詐騙假冒漏洞。

9 個嚴重等級的漏洞，分別為 ：

• CVE-2022-21846：Microsoft Exchange Server 遠端執行任意程式碼漏洞；
• CVE-2022-21840：Microsoft Office 遠端執行任意程式碼漏洞；
• CVE-2022-21917：HEVC 影音延伸組件遠端執行任意程式碼漏洞；
• CVE-2022-22947：開源 Curl 組件遠端執行任意程式碼漏洞；
• CVE-2022-21857：Active Directory 網域服務權限提升漏洞；
• CVE-2022-21898：DirectX 繪圖核心遠端執行任意程式碼漏洞；
• CVE-2022-21912：DirectX 繪圖核心遠端執行任意程式碼漏洞；
• CVE-2022-21907：HTTP 協定堆疊遠端執行任意程式碼漏洞；
• CVE-2022-21833：虛擬機器 IDE 磁碟權限提升漏洞。

此外，六個得到修補的 0-day 漏洞，目前尚未傳出遭到大規模利用於駭侵攻擊的情報。