编辑：左右里

2022年的第二个星期二，微软1月份的累积更新如期发布。本次更新涉及Microsoft Edge（基于 Chromium）、Microsoft Exchange Server、Microsoft Office、Microsoft Teams、Windows Defender等，共修复97个漏洞，其中有9个高危漏洞。

各类型漏洞的数量分别为：

41个 权限提升漏洞

9个 安全功能绕过漏洞

29个 远程代码执行漏洞

6个 信息泄露漏洞

9个 拒绝服务漏洞

3个 欺骗漏洞

所有已披露的漏洞均被列为未受攻击。

其中最关键的漏洞之一是CVE-2022-21907（CVSS分数9.8），这是一个存在于HTTP协议栈的远程代码执行漏洞。微软在其公告中指出，在大多数情况下，未经身份验证的攻击者可以使用HTTP协议栈（http.sys）向目标服务器发送特制的数据包来处理数据包。

另一个关键漏洞是Windows Internet Key Exchange Extension中的远程代码执行漏洞（CVE-2022-21849，CVSS分数9.8），微软表示，在启用了 Internet Key Exchange version 2的环境中，远程攻击者可以在未经身份验证的情况下触发多个漏洞。

另外还有六个未被利用的0day漏洞：

CVE-2021-22947：OpenSource Curl远程代码执行漏洞

CVE-2021-36976：WindowsLibarchive远程代码执行漏洞

CVE-2022-21919：Windows用户配置文件服务权限提升漏洞

CVE-2022-21836：Windows证书欺骗漏洞

CVE-2022-21839：Windows事件跟踪任意访问控制列表拒绝服务漏洞

CVE-2022-21874：Windows安全中心 API 远程代码执行漏洞

值得注意的是，更新补丁修复了多个影响Exchange Server、Microsoft Office（CVE-2022-21840）、SharePoint Server、RDP、Windows弹性文件系统的远程代码执行漏洞，以及Windows ActiveDirectory、Windows Account Control、Windows Cleanup Manager、Windows Kerberos等中的权限提升漏洞。

资讯来源：Microsoft 安全响应中心

转载请注明出处和本文链接

推荐文章++++

* 华为在美国专利授权排名第五，全球专利持有量前十中国占六家

* 欧盟数据主管命令欧洲刑警组织删除与犯罪无关的个人数据

* 法国罚谷歌脸书共2.1亿欧元，因用户无法简单拒绝Cookie

* 2021年网络安全事件大盘点

* 动视起诉外挂网站EngineOwning，且要求外挂开发者赔偿损失

* 本田讴歌汽车导航系统故障，出现时钟倒置？

* McMenamins 23年间的雇员数据泄露，最早可追溯到1998年

﹀

﹀

﹀