发布编号：TACERT-ANA-2022072709070606

发布时间：2022-07-27 09:06:06

事故类型：ANA-漏洞预警

发现时间：2022-07-27 03:35:06

影响等级：低

 

[主旨说明:]

【漏洞预警】Microsoft 推出 2022 年 7 月 Patch Tuesday 资安更新包

 

[内容说明:]

 

转发 科学园区资安资讯分享与分析中心 SPISAC-ANA-202207-0005

Microsoft 发布 2022 年 7 月的资安更新包（Patch Tuesday）一共修复多达 84 个资安漏洞，包含 1 个 0-day 漏洞（CVE-2022-22047）和4 个Critical漏洞。

CVE-2022-22047漏洞位于客户端/服务器端执行时子系统（Client/Server Runtime Subsystem，CSRSS），为一权限扩张漏洞，成功开采将允许骇客取得系统（SYSTEM）权限，并已遭骇客开采。虽然CVE-2022-22047仅被列为重要（Important）漏洞，但资安专家仍建议微软用户应优先修补。

4个重大漏洞中，CVSS风险评分达8.8的是CVE-2022-30221，它藏匿在Windows图形元件中，骇客只要说服使用者连向一个恶意的RDP（远端桌面协定）服务器，就能开采该漏洞并于受害系统上执行程式。

这次 Microsoft Patch Tuesday 更新修复的漏洞，依漏洞类型区分如下：

● 执行权限提升漏洞：52 个。

● 资安防护功能跳过漏洞：4 个。

● 远端执行任意程式码漏洞：12 个。

● 资讯洩露漏洞：11 个。

● 分布式服务阻断攻击（Distributed Denial of Service, DDoS）漏洞：5 个。

 

[影响平台:]

Windows

 

[建议措施:]

利用Windows Update更新至最新版本

 

[参考资料:]

1、https://msrc.microsoft.com/update-guide/vulnerability/ADV990001

2、微软Patch Tuesday修补84个漏洞，有一个已被开采

3、Microsoft 推出 2022 年 7 月 Patch Tuesday 资安更新包，共修复 84 个漏洞

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw