政府電腦保安事故協調中心 - 高危保安警報 (A22-03-07): Microsoft 產品多個漏洞 (2022年3月)

描述:

Microsoft 發布了安全性更新以應對數個影響 Microsoft 產品或元件的多個漏洞。有關安全性更新的列表，請參考以下網址：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Mar

有報告指在 Microsoft Windows 及 Server，以及.NET Framework 及 Visual Studio 軟件的多個漏洞 (CVE-2022-21990、CVE-2022-24459 及 CVE-2022-24512) 的技術詳情已被公開。在 Microsoft Exchange Server 及 Windows SMBv3 Client/Server 中的遠端執行程式碼漏洞 (CVE-2022-23277 及 CVE-2022-24508) 正受到很高的網絡攻擊風險。系統管理員應立即為受影響的系統安裝修補程式，以減低受到網絡攻擊的風險。

受影響的系統:

Microsoft Windows 7, 8.1, RT 8.1, 10, 11
Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022, 2022 Azure Edition Core Hotpatch
Microsoft Windows Server, version 20H2
Microsoft Office 2019, 2019 for Mac, LTSC 2021, LTSC for Mac 2021
Microsoft Word 2013, 2013 RT, 2016
Microsoft 365 Apps for Enterprise
Microsoft Exchange Server 2013, 2016, 2019
Microsoft Visual Studio 2019, 2022
.NET 5.0, 6.0
.NET Core 3.1
Azure Site Recovery VMWare to Azure
HEVC Video Extensions
Paint 3D
Raw Image Extension
Remote Desktop client for Windows Desktop
Skype Extension for Chrome
Visual Studio Code
VP9 Video Extensions

影響:

成功利用漏洞可以導致遠端執行程式碼、權限提升、泄漏資訊、服務被拒絕、繞過保安功能、仿冒詐騙及篡改，視乎攻擊者利用哪個漏洞而定。

建議:

受影響產品的修補程式可在 Windows Update 或 Microsoft Update Catalog 獲取。受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。

進一步資訊:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Mar
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/08/microsoft-releases-march-2022-security-updates
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8927
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21967
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21973
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21975
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21977
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21990
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22006
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22007
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22010
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23253
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23265
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23266
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23277
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23278
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23281 (to CVE-2022-23288)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23290
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23291
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23293 (to CVE-2022-23301)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24451 (to CVE-2022-24457)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24459 (to CVE-2022-24465)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24467 (to CVE-2022-24471)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24501 (to CVE-2022-24503)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24505 (to CVE-2022-24512)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24515
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24517 (to CVE-2022-24520)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24522
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24525
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24526

標籤 : Microsoft , Windows , Windows Server , Microsoft Office , Word , Microsoft 365 Apps , Exchange Server , Visual Studio , .NET , .NET Core , Azure Site Recovery , HEVC Video Extensions , Paint 3D , Raw Image Extension , Remote Desktop , Skype , Visual Studio Code , VP9 Video Extensions