微軟公司日前推出例行資安更新的 2022 年一月「Patch Tuesday」資安修補包，一共修復多達 97 個漏洞，其中更有 6 個 0-day 漏洞；資安專家呼籲微軟各種產品用戶應立即更新。

在這 97 個得到更新的漏洞中，有 9 個列為「嚴重」等級，另有 88 個列為「重要等級」；依其屬性列表如下：

• 41 個漏洞屬於執行權限提升漏洞；
• 9 個漏洞屬於跳過資安防護功能漏洞；
• 29 個遠端執行任意程式碼漏洞；
• 6 個資訊外洩漏洞；
• 9 個服務阻斷漏洞；
• 3 個詐騙假冒漏洞。

9 個嚴重等級的漏洞，分別為 ：

• CVE-2022-21846：Microsoft Exchange Server 遠端執行任意程式碼漏洞；
• CVE-2022-21840：Microsoft Office 遠端執行任意程式碼漏洞；
• CVE-2022-21917：HEVC 影音延伸組件遠端執行任意程式碼漏洞；
• CVE-2022-22947：開源 Curl 組件遠端執行任意程式碼漏洞；
• CVE-2022-21857：Active Directory 網域服務權限提升漏洞；
• CVE-2022-21898：DirectX 繪圖核心遠端執行任意程式碼漏洞；
• CVE-2022-21912：DirectX 繪圖核心遠端執行任意程式碼漏洞；
• CVE-2022-21907：HTTP 協定堆疊遠端執行任意程式碼漏洞；
• CVE-2022-21833：虛擬機器 IDE 磁碟權限提升漏洞。

此外，六個得到修補的 0-day 漏洞，目前尚未傳出遭到大規模利用於駭侵攻擊的情報。

• 參考連結

January 2022 Security Updates

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan

Microsoft January 2022 Patch Tuesday: Six zero-days, over 90 vulnerabilities fixed

https://www.zdnet.com/article/microsoft-january-2022-patch-tuesday-six-zero-days-over-90-vulnerabilities-fixed/

Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/