微软8日发布今年2月的Patch Tuesday,总计修补了51个安全漏洞,其中有一个零时差漏洞,罕见的是,微软此次所修补的,完全没有重大(Critical)等级的安全漏洞。如果算进微软本月初跟随Chromium项目、所修补的19个Microsoft Edge漏洞,那么2月修补漏洞的总数则是70个。
此次所修补的零时差漏洞为CVE-2022-21989,它是Windows Kernel中的权限扩张漏洞,它的攻击复杂性高,虽然先前便已被披露,但尚未看到攻击程序。
趋势科技旗下的Zero Day Initiative(ZDI)团队选出了4个相对重要的漏洞,分别是CVE-2022-21984、CVE-2022-23280、CVE-2022-21995与CVE-2022-22005。
其中,CVE-2022-21984为Windows DNS Server的远程程序攻击漏洞,该漏洞允许黑客掌控DNS服务器,并以扩张的权限执行程序代码。虽然该漏洞必须在用户激活动态更新之后才会现身,不过这是一个常见的设置,使得ZDI呼吁用户应将其视为重大漏洞。
CVE-2022-23280则是Microsoft Outlook for Mac的安全功能绕过漏洞,该漏洞将让图像自动出现在预览中,即使已关闭预览,相关的攻击只会暴露攻击目标的IP信息,但若搭配其它漏洞则可能导致远程程序执行。
CVE-2022-21995为Windows Hyper-V的远程程序执行漏洞,起因为Guest to Host逃逸,允许黑客穿越虚拟机的安全边界,并于主机环境执行程序,尽管有些严重,但因攻击难度较高而未被列为重大等级。
CVE-2022-22005则是SharePoint Server的远程程序执行漏洞,允许经过身份认证的用户执行任意的.NET程序代码。
上述被ZDI点名的漏洞中,CVE-2022-21984与CVE-2022-22005的CVSS风险评分都达到8.8,同登本月之冠。