您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
信息安全漏洞月報(bào)(2022年7月)
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2022年7月份采集安全漏洞共1924個(gè)。
本月接報(bào)漏洞15699個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)583個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)15116個(gè),其中漏洞平臺(tái)推送漏洞13516個(gè)。
重大漏洞通報(bào)
OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274):成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4版本受漏洞影響。目前,OpenSSL官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
微軟多個(gè)安全漏洞:包括Microsoft Windows 權(quán)限許可和訪(fǎng)問(wèn)控制問(wèn)題漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202207-1096、CVE-2022-22024)等多個(gè)漏洞,成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶(hù)數(shù)據(jù),提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
漏洞態(tài)勢(shì)
一、公開(kāi)漏洞情況
根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2022年7月份新增安全漏洞共1924個(gè),從廠(chǎng)商分布來(lái)看,WordPress基金會(huì)公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布117個(gè);從漏洞類(lèi)型來(lái)看,緩沖區(qū)錯(cuò)誤類(lèi)的漏洞占比最大,達(dá)到11.17%。本月新增漏洞中,超危漏洞292個(gè)、高危漏洞698個(gè)、中危漏洞835個(gè)、低危漏洞99個(gè),相應(yīng)修復(fù)率分別為73.97%、84.53%、78.80%以及97.98%。合計(jì)1561個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布,本月整體修復(fù)率81.13%。
截至2022年7月31日,CNNVD采集漏洞總量已達(dá)189054個(gè)。
1.1 漏洞增長(zhǎng)概況
2022年7月新增安全漏洞1924個(gè),與上月(2346個(gè))相比減少了17.99%。根據(jù)近6個(gè)月來(lái)漏洞新增數(shù)量統(tǒng)計(jì)圖,平均每月漏洞數(shù)量達(dá)到2056個(gè)。
圖1 2022年2月至2022年7月漏洞新增數(shù)量統(tǒng)計(jì)圖
1.2 漏洞分布情況
1.2.1 漏洞廠(chǎng)商分布
2022年7月廠(chǎng)商漏洞數(shù)量分布情況如表1所示,WordPress基金會(huì)公司漏洞達(dá)到117個(gè),占本月漏洞總量的6.08%。
表1 2022年7月排名前十廠(chǎng)商新增安全漏洞統(tǒng)計(jì)表
1.2.2 漏洞產(chǎn)品分布
2022年7月主流操作系統(tǒng)的漏洞統(tǒng)計(jì)情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共43個(gè),Windows Server 2022漏洞數(shù)量最多,共42個(gè),占主流操作系統(tǒng)漏洞總量的8.97%,排名第一。
表2 2022年7月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計(jì)
1.2.3 漏洞類(lèi)型分布
2022年7月份發(fā)布的漏洞類(lèi)型分布如表3所示,其中緩沖區(qū)錯(cuò)誤類(lèi)漏洞所占比例最大,約為11.17%。
表3 2022年7月漏洞類(lèi)型統(tǒng)計(jì)表
1.2.4 漏洞危害等級(jí)分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個(gè)危害等級(jí),即超危、高危、中危和低危級(jí)別。2022年7月漏洞危害等級(jí)分布如圖2所示,其中超危漏洞292條,占本月漏洞總數(shù)的15.18%。
圖2 2022年7月漏洞危害等級(jí)分布
1.3漏洞修復(fù)情
1.3.1 整體修復(fù)情況
2022年7月漏洞修復(fù)情況按危害等級(jí)進(jìn)行統(tǒng)計(jì)見(jiàn)圖3。其中低危漏洞修復(fù)率最高,達(dá)到97.98%,超危漏洞修復(fù)率最低,比例為73.97%。
總體來(lái)看,本月整體修復(fù)率,由上月的71.99%上升至本月的81.13%。
圖3 2022年7月漏洞修復(fù)數(shù)量統(tǒng)計(jì)
1.3.2 廠(chǎng)商修復(fù)情況
2022年7月漏洞修復(fù)情況按漏洞數(shù)量前十廠(chǎng)商進(jìn)行統(tǒng)計(jì),其中WordPress基金會(huì)、Oracle、Microsoft等十個(gè)廠(chǎng)商共627條漏洞,占本月漏洞總數(shù)的32.59%,漏洞修復(fù)率為96.49%,詳細(xì)情況見(jiàn)表4。多數(shù)知名廠(chǎng)商對(duì)產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時(shí),其中Oracle、Microsoft、Apple、Cisco、Samsung、Adobe等公司本月漏洞修復(fù)率均為100%,共605條漏洞已全部修復(fù)。
表4 2022年7月廠(chǎng)商修復(fù)情況統(tǒng)計(jì)表
1.4 重要漏洞實(shí)例
1.4.1 超危漏洞實(shí)例
2022年7月超危漏洞共292個(gè),其中重要漏洞實(shí)例如表5所示。
表5 2022年7月超危漏洞實(shí)例
1、Django SQL注入漏洞(CNNVD-202207-347)
Django是Django基金會(huì)的一套基于Python語(yǔ)言的開(kāi)源Web應(yīng)用框架。該框架包括面向?qū)ο蟮挠成淦?、視圖系統(tǒng)、模板系統(tǒng)等。
Django 3.2.14 版本之前3.2 版本和 4.0.6 版本之前的 4.0 版本存在SQL注入漏洞,該漏洞源于如果將不受信任的數(shù)據(jù)用作 kind/lookup_name 值,則Trunc() 和 Extract() 數(shù)據(jù)庫(kù)函數(shù)會(huì)受到 SQL 注入的影響。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
2、Mitsubishi Electric MC Works64 代碼問(wèn)題漏洞(CNNVD-202207-2071)
Mitsubishi Electric MC Works64是日本三菱電機(jī)(Mitsubishi Electric)公司的一套數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)。
Mitsubishi Electric MC Works64 存在安全漏洞,該漏洞源于數(shù)據(jù)包的不正確輸入驗(yàn)證。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-008_en.pdf
3、Symantec Advanced Secure Gateway 授權(quán)問(wèn)題漏洞(CNNVD-202207-563)
Symantec Advanced Secure Gateway(ASG)是美國(guó)賽門(mén)鐵克(Symantec)公司的一款安全網(wǎng)關(guān)設(shè)備。
Symantec Advanced Secure Gateway (ASG) 和 ProxySG存在安全漏洞,該漏洞源于容易受到 HTTP 異步漏洞的影響。攻擊者利用該漏洞發(fā)送特制的 HTTP 請(qǐng)求,并使用代理將 Web 服務(wù)器響應(yīng)轉(zhuǎn)發(fā)給其他客戶(hù)端。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/20638
4、Cisco Nexus Dashboard 操作系統(tǒng)命令注入漏洞(CNNVD-202207-2123)
Cisco Nexus Dashboard是美國(guó)思科(Cisco)公司的一個(gè)單一控制臺(tái)。能夠簡(jiǎn)化數(shù)據(jù)中心網(wǎng)絡(luò)的運(yùn)營(yíng)和管理。
Cisco Nexus Dashboard 存在安全漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以訪(fǎng)問(wèn)在數(shù)據(jù)網(wǎng)絡(luò)中運(yùn)行的特定 API 并在受影響的設(shè)備上執(zhí)行任意命令。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
5、Siemens 多款產(chǎn)品 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202207-904)
Siemens SIMATIC是西門(mén)子(Siemens)的一款組態(tài)軟件。
SIMATIC CP多款產(chǎn)品、SIPLUS多款產(chǎn)品存在安全漏洞,該漏洞源于在解析特定消息時(shí)缺乏對(duì)用戶(hù)提供的數(shù)據(jù)的正確驗(yàn)證,從而導(dǎo)致基于堆的緩沖區(qū)溢出。攻擊者利用該漏洞在受影響設(shè)備中執(zhí)行代碼。以下產(chǎn)品及版本受到影響:SIMATIC CP 1242-7 V2版本、SIMATIC CP 1243-1版本、SIMATIC CP 1243-7 LTE EU版本、SIMATIC CP 1243-7 LTE US版本、SIMATIC CP 1243-8 IRC版本、SIMATIC CP 1542SP-1 IRC V2.0版本及之后版本、SIMATIC CP 1543-1 V3.0.22之前版本、SIMATIC CP 1543SP-1 V2.0版本及之后版本、SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL V2.0版本及之后版本、SIPLUS ET 200SP CP 1543SP-1 ISEC V2.0版本及之后版本、SIPLUS ET 200SP CP 1543SP -1 ISEC TX RAIL V2.0版本及之后版本、SIPLUS NET CP 1242-7 V2版本、SIPLUS NET CP 1543-1 V3.0.22之前版本、SIPLUS S7-1200 CP 1243-1版本、SIPLUS S7-1200 CP 1243-1 RAIL版本。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://cert-portal.siemens.com/productcert/pdf/ssa-517377.pdf
6、Cisco Nexus Dashboard 訪(fǎng)問(wèn)控制錯(cuò)誤漏洞(CNNVD-202207-2117)
Cisco Nexus Dashboard是美國(guó)思科(Cisco)公司的一個(gè)單一控制臺(tái)。能夠簡(jiǎn)化數(shù)據(jù)中心網(wǎng)絡(luò)的運(yùn)營(yíng)和管理。
Cisco Nexus Dashboard 存在安全漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以訪(fǎng)問(wèn)在受影響設(shè)備的數(shù)據(jù)和管理網(wǎng)絡(luò)中運(yùn)行的服務(wù)。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
7、Apache Xalan 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202207-1617)
Apache Xalan是美國(guó)阿帕奇(Apache)基金會(huì)的開(kāi)源軟件庫(kù)。
Apache Xalan Java XSLT庫(kù)存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于在處理惡意的XSLT樣式表時(shí),存在整數(shù)截?cái)鄦?wèn)題。這可以用來(lái)破壞由內(nèi)部XSLTC編譯器生成的Java類(lèi)文件并執(zhí)行任意的Java字節(jié)碼。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://lists.apache.org/thread/12pxy4phsry6c34x2ol4fft6xlho4kyw
1.4.2 高危漏洞實(shí)例
2022年7月高危漏洞共698個(gè),其中重要漏洞實(shí)例如表6所示。
表6 2022年7月高危漏洞實(shí)例
1、Fortinet FortiADC SQL注入漏洞(CNNVD-202207-376)
Fortinet FortiADC是美國(guó)飛塔(Fortinet)公司的一款應(yīng)用交付控制器。
Fortinet FortiADC存在SQL注入漏洞,該漏洞源于對(duì) FortiADC 管理界面中用戶(hù)提供的數(shù)據(jù)的清理不足。遠(yuǎn)程攻擊者利用該漏洞可以向受影響的應(yīng)用程序發(fā)送特制請(qǐng)求,并在應(yīng)用程序數(shù)據(jù)庫(kù)中執(zhí)行任意 SQL 命令。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://fortiguard.fortinet.com/psirt/FG-IR-22-051
2、Inductive Automation Ignition 代碼問(wèn)題漏洞(CNNVD-202207-2475)
Inductive Automation Ignition是美國(guó)Inductive Automation公司的一套用于SCADA系統(tǒng)的集成軟件平臺(tái)。該平臺(tái)支持SCADA(數(shù)據(jù)采集與監(jiān)控系統(tǒng))、HMI(人機(jī)界面)等。
Inductive Automation Ignition存在代碼問(wèn)題漏洞,該漏洞源于在沒(méi)有XML安全標(biāo)志的情況下解析備份或還原功能中的XML,可能會(huì)導(dǎo)致XML外部實(shí)體注入攻擊。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://inductiveautomation.com/downloads/releasenotes/8.1.9#:~:text=Fixed%20multiple%20potential%20XXE%20and%20SSRF%20vulnerabilities
3、SAP Business one License service API 授權(quán)問(wèn)題漏洞(CNNVD-202207-866)
SAP Business One License service API是德國(guó)SAP公司的一項(xiàng)服務(wù)。提供了一個(gè)統(tǒng)一的服務(wù)端點(diǎn),可以通過(guò) API 調(diào)用從 SAP Business One 系統(tǒng)之外的源系統(tǒng)訪(fǎng)問(wèn)業(yè)務(wù)數(shù)據(jù)。
SAP Business one License service API 10.0版本存在授權(quán)問(wèn)題漏洞。攻擊者利用該漏洞通過(guò)網(wǎng)絡(luò)發(fā)送惡意 http 請(qǐng)求,從而破壞整個(gè)應(yīng)用程序。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://launchpad.support.sap.com/#/notes/3157613
4、Schneider Electric SpaceLogic C-Bus Home Controller 操作系統(tǒng)命令注入漏洞(CNNVD-202207-1279)
Schneider Electric SpaceLogic C-Bus Home Controller是法國(guó)施耐德電氣(Schneider Electric)公司的一個(gè)功能強(qiáng)大、完全集成的系統(tǒng)??梢钥刂坪妥詣?dòng)化照明和許多其他電氣系統(tǒng)和產(chǎn)品。
Schneider Electric SpaceLogic C-Bus Home Controller (5200WHC2) V1.31.460 及之前版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于OS 命令中使用的特殊元素的不正確中和,攻擊者利用該漏洞可以提升root權(quán)限。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-02_SpaceLogic-C-Bus-Home-Controller-Wiser_MK2_Security_Notification.pdf
5、Redis Labs Redis 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202207-1675)
Redis Labs Redis是美國(guó)Redis Labs公司的一套開(kāi)源的使用ANSI C編寫(xiě)、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲(chǔ)數(shù)據(jù)庫(kù),并提供多種語(yǔ)言的API。
Redis 7.0.4 之前版本存在安全漏洞,該漏洞源于針對(duì)特定狀態(tài)的流鍵的特制 XAUTOCLAIM 命令可能導(dǎo)致堆溢出,并可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://github.com/redis/redis/releases/tag/7.0.4
6、Apache Hive 訪(fǎng)問(wèn)控制錯(cuò)誤漏洞(CNNVD-202207-1393)
Apache Hive是美國(guó)阿帕奇(Apache)基金會(huì)的一套基于Hadoop(分布式系統(tǒng)基礎(chǔ)架構(gòu))的數(shù)據(jù)倉(cāng)庫(kù)軟件。該軟件提供了一個(gè)數(shù)據(jù)集成方法和一種高級(jí)的查詢(xún)語(yǔ)言,以支持在Hadoop上進(jìn)行大規(guī)模數(shù)據(jù)分析。
Apache Hive 3.1.3之前版本存在安全漏洞,該漏洞源于Hive 的CREATE和DRO函數(shù)不檢查授權(quán),未經(jīng)授權(quán)的用戶(hù)可以刪除并重新創(chuàng)建 UDF。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://lists.apache.org/thread/oqqgnhz4c6nxsfd0xstosnk0g15f7354
7、Linux kernel 資源管理錯(cuò)誤漏洞(CNNVD-202207-2277)
Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel io_uring存在安全漏洞。攻擊者利用該漏洞導(dǎo)致出現(xiàn)雙重釋放。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?h=linux-5.10.y&id=df3f3bb5059d20ef094d6b2f0256c4bf4127a859
8、ZOHO ManageEngine ADSelfService Plus 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202207-329)
ZOHO ManageEngine ADSelfService Plus是美國(guó)卓豪(ZOHO)公司的針對(duì) Active Directory 和云應(yīng)用程序的集成式自助密碼管理和單點(diǎn)登錄解決方案。
ZOHO ManageEngine ADSelfService Plus存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于移動(dòng)應(yīng)用部署 API 中用戶(hù)提供的輸入驗(yàn)證不足導(dǎo)致遠(yuǎn)程攻擊者可以向受影響的移動(dòng)應(yīng)用部署 API 端點(diǎn)發(fā)送特制請(qǐng)求并執(zhí)行拒絕服務(wù) (DoS) 攻擊。
目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠(chǎng)商主頁(yè):
https://www.manageengine.com/products/self-service-password/
二、漏洞平臺(tái)推送情況
2022年7月漏洞平臺(tái)推送漏洞13516個(gè)。
表7 2022年7月漏洞平臺(tái)推送情況表
三、接報(bào)漏洞情況
2022年7月接報(bào)漏洞2183個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)583個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)1600個(gè)。
表8 2022年7月接報(bào)漏洞情況表(略)
四、重大漏洞通報(bào)
4.1 OpenSSL安全漏洞的通報(bào)
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情況的報(bào)送。成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4版本受漏洞影響。目前,OpenSSL官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫(kù)。該產(chǎn)品支持多種加密算法,包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。該漏洞源于計(jì)算機(jī)上具有2048位私鑰的 RSA 實(shí)現(xiàn)不正確,并且在計(jì)算過(guò)程中會(huì)發(fā)生內(nèi)存損壞,導(dǎo)致攻擊者可能會(huì)在執(zhí)行計(jì)算的機(jī)器上遠(yuǎn)程執(zhí)行代碼。
. 危害影響
成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4版本受漏洞影響。
. 修復(fù)建議
目前,OpenSSL官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。官方鏈接如下:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345
4.2 微軟多個(gè)安全漏洞的通報(bào)
近日,微軟官方發(fā)布了多個(gè)安全漏洞的公告,其中微軟產(chǎn)品本身漏洞86個(gè),影響到微軟產(chǎn)品的其他廠(chǎng)商漏洞3個(gè)。包括Microsoft Windows 權(quán)限許可和訪(fǎng)問(wèn)控制問(wèn)題漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202207-1096、CVE-2022-22024)等多個(gè)漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶(hù)數(shù)據(jù),提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
2022年7月12日,微軟發(fā)布了2022年7月份安全更新,共89個(gè)漏洞的補(bǔ)丁程序,CNNVD對(duì)這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft
Windows 和 Windows 組件、Microsoft Visual Studio、Microsoft Windows Shell、Microsoft
Graphics Component、 Microsoft Azure、Microsoft Internet Information
Services等。CNNVD對(duì)其危害等級(jí)進(jìn)行了評(píng)價(jià),其中高危漏洞40個(gè),中危漏洞47個(gè),低危漏洞2個(gè)。微軟多個(gè)產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪(fǎng)問(wèn)
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢(xún)。
. 漏洞詳情
此次更新共包括82個(gè)新增漏洞的補(bǔ)丁程序,其中高危漏洞38個(gè),中危漏洞44個(gè)。
此次更新共包括4個(gè)更新漏洞的補(bǔ)丁程序,其中高危漏洞2個(gè),中危漏洞2個(gè)。
此次更新共包括3個(gè)影響微軟產(chǎn)品的其他廠(chǎng)商漏洞的補(bǔ)丁程序,其中中危漏洞1個(gè),低危漏洞2個(gè)。
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶(hù)及時(shí)確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來(lái)源:CNNVD安全動(dòng)態(tài)