•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
Patch Tuesday: Microsoft выпустила январские обновления безопасности.

Patch Tuesday: Microsoft выпустила январские обновления безопасности.

Microsoft выпустила первые обновления безопасности в 2022 году для закрытия 97 уязвимостей (отдельно 26 уязвимостей были закрыты в браузере Microsoft Edge), 9 из которых были классифицированы как критические, а 6 уязвимостей были обнародованы публично (0-day). Одна из уязвимостей потенциально может быть использована для сетевого червя с автоматическим распространением по сети! Ни одна уязвимость не была зафиксирована в реальных атаках. Максимальный рейтинг по шкале CVSS среди всех закрытых уязвимостей составил 9.8 из 10.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.. 
logo.jpg РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Microsoft ESD 
электронные ключи на программные продукты Microsoft, использование без ограничений срока. Подробнее>>
Microsoft CSP 
доступ к услуге цифрового сервиса, подписки от 1 года до 6 лет. Подробнее>>
Microsoft серверные подписки 
доступ к услуге цифрового сервиса, подписки от 1 года до 3 лет. Подробнее>>
Microsoft FPP 
коробочные версии, 25-тизначный ключ для установки продукта (Product Key) размещен на наклейке внутри коробки. Подробнее>>
Microsoft Первая Помощь" для образовательных учреждений 
специальные цены для учреждений начального и среднего образования на использование в период календарного года. Подробнее>>

Купить доступ к услуге цифрового сервиса Microsoft 365

Помимо стандартного набора затронутых продуктов – Windows, Office, SharePoint, Visual Studio – обновления этого выпуска также затрагивают Active Directory, Hyper-V, Exchange Server, Dynamics 365 On-premise, .NET Framework, libarchive, curl. В этой статье я расскажу о самых важных моментах январского вторника обновлений.
Помните, почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования. Поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно (по данным отчета Vulnerability Review Report компании Flexera).
Сводная информация по количеству и типу уязвимостей, закрытых в январе, приведена на графике.

Помимо стандартного набора затронутых продуктов – Windows, Office, SharePoint, Visual Studio – обновления этого выпуска также затрагивают Active Directory, Hyper-V, Exchange Server, Dynamics 365 On-premise, .NET Framework, libarchive, curl. В этой статье я расскажу о самых важных моментах январского вторника обновлений.Помните, почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования. Поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно (по данным отчета Vulnerability Review Report компании Flexera).Сводная информация по количеству и типу уязвимостей, закрытых в январе, приведена на графике.

На следующие уязвимости и обновления безопасности следует обратить особое внимание
Закрытые важные уязвимости:

CVE-2022-21849 – Windows IKE Extension Remote Code Execution Vulnerability (CVSS 9.8)
CVE-2022-21901 – Windows Hyper-V Elevation of Privilege Vulnerability (CVSS 9.0)
CVE-2022-21922 – Remote Procedure Call Runtime Remote Code Execution Vulnerability (CVSS 8.8)
CVE-2022-21893 – Remote Desktop Protocol Remote Code Execution Vulnerability (CVSS 8.8)
CVE-2022-21850 – Remote Desktop Client Remote Code Execution Vulnerability (CVSS 8.8)
CVE-2022-21920 – Windows Kerberos Elevation of Privilege Vulnerability (CVSS 8.8)
CVE-2022-21837 – Microsoft SharePoint Server Remote Code Execution Vulnerability (CVSS 8.3)

Закрытые критические уязвимости:

CVE-2022-21907 – HTTP Protocol Stack Remote Code Execution Vulnerability (CVSS 9.8) Wormable, Exploitation More Likely!

Затронутое ПО: Windows 11, Windows 10 v21H2, v21H1, v20H2, Windows Server 2022, Windows Server v20H2, Windows Server 2019

CVE-2022-21857 – Active Directory Domain Services Elevation of Privilege Vulnerability (CVSS 8.8)
CVE-2022-21846 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVSS 9.0)
CVE-2022-21840 – Microsoft Office Remote Code Execution Vulnerability (CVSS 8.8)

Информация о следующих уязвимостях была обнародована публично:

CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
CVE-2021-36976 – Open Source Curl Remote Code Execution Vulnerability
CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability (CVSS 6.1)
CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability (CVSS 7.8)
CVE-2022-21836 – Windows Certificate Spoofing Vulnerability (CVSS 7.8)
CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability (CVSS Score 7.0) Exploitation More Likely

Как всегда самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide. Полный список обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.
Есть два типа админов: те, кто вовремя ставят патчи, и те, кто вынужден покупать биткоины



Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.