Microsoft 日前推出 2022 年 12 月例行資安更新修補包「Patch Tuesday」，共修復 49 個資安漏洞，其中有 6 個是屬於「嚴重」(Critical) 危險程度的漏洞，另有 2 個 0-day 漏洞也獲得修復，其中有 1 個已知遭用於攻擊活動。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：19 個；
• 資安防護功能略過漏洞：2 個；
• 遠端執行任意程式碼漏洞：23 個；
• 資訊洩露漏洞：3 個；
• 服務阻斷（Denial of Service）漏洞：3 個；
• 假冒詐騙漏洞：1 個。

上述在這次 Patch Tuesday 中獲得修補的漏洞，並未包括 25 個於 12 月 5 日推出資安修補包的 Microsoft Edge 瀏覽器。

本月修復的 2 個 0-day 漏洞如下：

• CVE-2022-44698：Windows SmartScreen 資安防護功能略過漏洞；該漏洞證實已遭駭侵者利用假造簽署的特製 JavaScript 用於攻擊活動之中；
• CVE-2022-44710：Microsoft DirectX Kernel 執行權限提升漏洞；駭侵者可利用此漏洞，將己身的執行權限提升到系統等級。

鑑於 Microsoft 軟體產品眾多，建議所有用戶與系統管理者應立即套用這次的 Patch Tuesday 資安更新，以免遭駭侵者利用已知的未修補漏洞發動攻擊，造成不必要的損失。

• 參考連結

Security Update Guide

https://msrc.microsoft.com/update-guide/

Microsoft December 2022 Patch Tuesday fixes 2 zero-days, 49 flaws

https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2022-patch-tuesday-fixes-2-zero-days-49-flaws/