• 發布單位:TWCERT/CC
• 更新日期:2022-11-11
• 點閱次數:6927

Microsoft 日前推出 2022 年 11 月例行資安更新修補包「Patch Tuesday」，共修復 68 個資安漏洞，其中有 11 個是屬於「嚴重」危險程度的漏洞，另有 6 個 0-day 漏洞已知遭用於駭侵攻擊。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：27 個；
• 資安防護功能略過漏洞：4 個；
• 遠端執行任意程式碼漏洞：16 個；
• 資訊洩露漏洞：11 個；
• 服務阻斷（Denial of Service）漏洞：6 個；
• 假冒詐騙漏洞：3 個。

上述在這次 Patch Tuesday 中獲得修補的漏洞，並未包括兩個於 11 月 2 日公開的 OpenSSL 漏洞。

本月修復的 6 個已遭濫用 0-day 漏洞如下：

• CVE-2022-41128：Windows Scripting Languages 遠端執行任意程式碼漏洞；
• CVE-2022-41091：Windows Mark oof the Web 資安防護功能跳過漏洞；
• CVE-2022-41073：WIndows Print Spooler 權限提升漏洞；
• CVE-2022-41125：Windows CNG Key Isolation Service 權限提升漏洞；
• CVE-2022-41040：Microsoft Exchange Server 權限提升漏洞；
• CVE-2022-41082：Microsoft Exchange Server 遠端執行任意程式碼漏洞。

鑑於 Microsoft 軟體產品眾多，所有用戶與系統管理者應立即套用這次的 Patch Tuesday 資安更新，以免遭駭侵者利用已知的未修補漏洞發動攻擊，造成不必要的損失。

• CVE編號：CVE-2022-41128 等
• 影響產品(版本)：Microsoft 多種軟體產品，詳見其資安通報。
• 解決方案：更新至最新推出的軟體資安更新版本。