微软2022年10月补丁周二修复了84个漏洞

微软周二发布了2022年10月补丁公告，展示了对一个被积极利用的Windows漏洞和83个其他缺陷的修复。

在周三的更新中修复的84个漏洞中，有13个被归类为严重漏洞，因为它们允许特权提升、欺骗或远程代码执行。至于其他的，69个被评为重要，一个被评为中等。

此外，本月补丁周二修复了两个零日漏洞。第一个零日是Windows COM+ Event System Service的权限提升漏洞(CVSS评分:7.8)，该漏洞影响组件COM+ Event System Service的一个未知功能。

Qualys漏洞签名经理Saeed Abbasi评论道：“这个补丁修复了微软声称正在受到主动攻击的安全漏洞。然而，目前还不清楚这些攻击有多严重。”

由于该漏洞的性质，特权升级通常涉及一些社会工程(例如，要求用户打开恶意附件)，历史表明，它可能需要与代码执行错误相关联才能加以利用。

另一方面，第二个零日是Microsoft Office信息披露漏洞，CVSS评分为3.3/10。

值得注意的是，在确认ProxyNotShell漏洞存在约两周后，微软并没有在Exchange Server(跟踪CVE-2022-41040)中添加补丁。

Qualys签名工程经理Ankit Malhotra解释说:“值得注意的是，微软不得不不止一次修改CVE-2022-41040的缓解措施，因为建议的URL重写缓解措施被多次绕过。”

对ProxyShell漏洞做出反应的组织也应该密切关注这一点，吸取他们在快速修复方面的经验教训，因为这个漏洞可能会被更多的利用。

周二，微软发布了2022年10月补丁报告。大约一个月前，苹果发布了针对旧款iPhone和iPad设备的iOS 12更新，以修补据报道威胁分子利用的漏洞。