TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2022-07-27
標題	【漏洞預警】Microsoft 推出 2022 年 7 月 Patch Tuesday 資安更新包
CVE	CVE-2022-22047
BID
影響平台	Windows
說明	轉發科學園區資安資訊分享與分析中心 SPISAC-ANA-202207-0005 Microsoft 發布 2022 年 7 月的資安更新包（Patch Tuesday）一共修復多達 84 個資安漏洞，包含 1 個 0-day 漏洞（CVE-2022-22047）和4 個Critical漏洞。 CVE-2022-22047漏洞位於客戶端/伺服器端執行時子系統（Client/Server Runtime Subsystem，CSRSS），為一權限擴張漏洞，成功開採將允許駭客取得系統（SYSTEM）權限，並已遭駭客開採。雖然CVE-2022-22047僅被列為重要（Important）漏洞，但資安專家仍建議微軟用戶應優先修補。 4個重大漏洞中，CVSS風險評分達8.8的是CVE-2022-30221，它藏匿在Windows圖形元件中，駭客只要說服使用者連向一個惡意的RDP（遠端桌面協定）伺服器，就能開採該漏洞並於受害系統上執行程式。這次 Microsoft Patch Tuesday 更新修復的漏洞，依漏洞類型區分如下： ● 執行權限提升漏洞：52 個。 ● 資安防護功能跳過漏洞：4 個。 ● 遠端執行任意程式碼漏洞：12 個。 ● 資訊洩露漏洞：11 個。 ● 分散式服務阻斷攻擊（Distributed Denial of Service, DDoS）漏洞：5 個。情資分享等級: WHITE(情資內容為可公開揭露之資訊)
解決方式	利用Windows Update更新至最新版本 [參考資料:] 1、https://msrc.microsoft.com/update-guide/vulnerability/ADV990001 2、https://www.ithome.com.tw/news/151918 3、https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9962
相關資訊連結
相關修正資訊連結