Casa > cibernético Notícias > Novembro 2022 Correções do Patch Tuesday 6 Zero-days explorados (CVE-2022-41128)
CYBER NEWS

novembro 2022 Correções do Patch Tuesday 6 Zero-days explorados (CVE-2022-41128)

patch terça-feira teclado

novembro 2022 patch Tuesday: O que foi corrigido?

novembro 2022 Patch terça-feira é um fato, abordando um total de 68 vulnerabilidades de segurança. A versão contém correções para um grande número de produtos da Microsoft, Incluindo:

  • .NET Framework
  • Ramo de CPU AMD
  • Azure
  • Sistema operacional em tempo real do Azure
  • Linux Kernel
  • Microsoft Dynamics
  • Microsoft Exchange Server
  • Componente Microsoft Graphics
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Servidor de políticas de rede (NPS)
  • Software livre
  • Função: Windows Hyper-V
  • SysInternals
  • Estúdio visual
  • Chamada de procedimento local avançada do Windows
  • Windows ALPC
  • Driver de filtro de ligação do Windows
  • BitLocker do Windows
  • Serviço de Isolamento de Chave CNG do Windows
  • Interface humana de dispositivos Windows
  • Mídia Digital Windows
  • Biblioteca principal do Windows DWM
  • Alocação de arquivos extensíveis do Windows
  • Cliente de preferência de política de grupo do Windows
  • Windows HTTP.sys
  • Kerberos do Windows
  • Marca Windows da Web (MOTW)
  • Logon de rede do Windows
  • Tradução de endereço de rede do Windows (NAT)
  • Driver ODBC do Windows
  • Filtro de sobreposição do Windows
  • Protocolo de encapsulamento ponto a ponto do Windows
  • Componentes do spooler de impressão do Windows
  • Sistema de arquivos resiliente do Windows (ReFS)
  • Script do Windows
  • Windows Win32K




Seis vulnerabilidades de dia zero corrigidas (CVE-2022-41128)

O Patch Tuesday deste mês também contém correções para um total de seis dias zero explorados ativamente, dois dos quais são conhecidos ProxyNotShell insetos:

  • CVE-2022-41040 também conhecido como ProxyNotShell, avaliado 8.8 no CVSS: Vulnerabilidade de elevação de privilégio do Microsoft Exchange Server
  • CVE-2022-41082 (o outro problema do ProxyNotShell) com uma classificação de gravidade de 8.8: Vulnerabilidade de elevação de privilégio do Microsoft Exchange Server
  • CVE-2022-41128 com uma classificação de gravidade de 8.8: Vulnerabilidade de execução remota de código de linguagens de script do Windows
  • CVE-2022-41125 com uma classificação CVSS de 7.8: Vulnerabilidade de elevação de privilégio do serviço de isolamento de chave CNG do Windows
  • CVE-2022-41073 com uma pontuação CVSS de 7.8: Vulnerabilidade de elevação de privilégio do spooler de impressão do Windows
  • CVE-2022-41091 com uma pontuação CVSS de 5.4): Vulnerabilidade de desvio do recurso de segurança da Web do Windows Mark

O que é uma vulnerabilidade de dia zero?

Amplamente dito, uma zero-day é uma exploração desconhecida em estado selvagem aproveitando uma vulnerabilidade em software ou hardware. A falha pode criar várias complicações antes que alguém perceba que algo está errado, tornando-o assim “dia zero”. Mais especificamente, uma vulnerabilidade de dia zero é um bug de software que os cibercriminosos descobrem antes que o fornecedor tome conhecimento do problema. Como o fornecedor do software não tem conhecimento disso, não há patch existente, tornando os ataques altamente possíveis de ocorrer.

12 das vulnerabilidades corrigidas foram classificadas como críticas, dois – Alto, e o outro 55 falhas são importantes. Outra vulnerabilidade digna de nota é CVE-2022-3723 – um problema de confusão de tipos no mecanismo JavaScript V8 no Google Chrome que foi relatado por Jan Vojtěšek, Milanek, e Przemek Gmerek da Avast no início deste ano. O Google corrigiu o problema em um patch fora de banda em outubro.

“Clientes que executam o Windows 7, Windows Server 2008 R2, ou Windows Server 2008 precisa comprar a Atualização de segurança estendida para continuar recebendo atualizações de segurança,” A Microsoft adicionou no consultivo oficial.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo