微软在今日发布了适用于Windows 11 21H2 (KB5018418)和 22H2 (KB5018427)的十月累积更新补丁,添加了堆栈更新,使其使用更加的流畅,更好的升级后续Windows版本,本次的所有升级都修复了众多安全问题,让我们一起来了解看看吧。
39 提权漏洞。
2 安全功能绕过漏洞。
20个远程代码执行漏洞。
11 信息披露漏洞。
8 拒绝服务漏洞。
4 欺骗漏洞。
上述计数不包括 10 月 3 日在 Microsoft Edge 中修复的 12 个漏洞。
有关非安全 Windows 更新的信息,您可以阅读今天的Windows 10 KB5018410 和 KB5018419 更新以及Windows 11 KB5018427 更新。
两个零日修复,一个积极利用
本月的补丁星期二修复了两个公开的零日漏洞,一个在攻击中被积极利用,一个公开披露。
如果漏洞被公开披露或被积极利用而没有可用的官方修复程序,Microsoft 会将其归类为零日漏洞。
今天修复的积极利用的零日漏洞被跟踪为“ CVE-2022-41033 - Windows COM+ 事件系统服务特权提升漏洞”。
“成功利用此漏洞的攻击者可以获得系统权限,”微软的公告中写道。
被利用的漏洞被列为由“匿名”研究人员发现。
公开披露的漏洞被跟踪为“ CVE-2022-41043 - Microsoft Office 信息泄露漏洞”,由 SpecterOps 的 Cody Thomas发现 。
微软表示,攻击者可以利用此漏洞获取用户身份验证令牌的访问权限。
Microsoft Exchange 零日漏洞未修复
不幸的是,微软还没有针对两个被积极利用的零日漏洞发布安全更新,分别是 CVE-2022-41040 和 CVE-2022-41082,也被称为 ProxyNotShell。
越南网络安全机构 GTSC 于 9 月下旬披露了这些漏洞,他们首先发现并报告了这些攻击。
这些漏洞是通过趋势科技的零日计划向微软披露的,预计今天将得到修复。
但是,今天的 Microsoft Exchange 安全公告指出修复程序尚未准备好。
“2022 年 10 月的 SU 不 包含针对 2022 年 9 月 29 日公开报告的零日漏洞(CVE-2022-41040 和 CVE-2022-41082)的修复程序,”Microsoft Exchange公告中写道。
其他公司的最新更新
其他在 2022 年 10 月发布更新的供应商包括:
Apple发布了 iOS 16.0.3,修复了邮件拒绝服务漏洞。
思科 本月发布了众多产品的安全更新。
Fortinet 针对积极利用的 身份验证绕过漏洞发布了安全更新。
谷歌 发布了 Android 10 月份的安全更新。
SAP已发布其 2022 年 10 月补丁日更新。
VMware发布 了针对 VMware ESXi 和 vCenter Server 漏洞的安全更新。
