Microsoft исправила 96 уязвимостей в рамках январского вторника исправлений

Каждый второй вторник месяца, известный как «вторник исправлений», Microsoft выпускает плановые обновления безопасности для своих продуктов. 11 января компания выпустила очередную порцию патчей, в общей сложности исправляющих 96 уязвимостей, в том числе шесть ранее неизвестных.

В частности, были исправлены уязвимости, позволяющие злоумышленникам удаленно выполнять код, повышать свои привилегии, осуществлять спуфинг и проводить XSS-атаки. Проблемы затрагивают Microsoft Exchange Server, Office, Windows Defender, Windows Kernel, RDP, сервисы шифрования, сертификат Windows и Microsoft Teams.

Как уже упоминалось, были исправлены шесть уязвимостей, о которых ранее не сообщалось (ни одна из них пока не эксплуатировалась в реальных хакерских атаках):

CVE-2021-22947 – удаленное выполнение кода в ПО с открытым исходным кодом Curl, позволяющее осуществить атаку «человек посередине»;

CVE-2021-36976 – использование памяти после высвобождения в Libarchive, что может привести к удаленному выполнению кода;

CVE-2022-21874 – удаленное выполнение кода в Windows Security Center API RCE;

CVE-2022-21919 – повышение привилегий в Windows User Profile Service (уже существует PoC-эксплоит);

CVE-2022-21839 – отказ в обслуживании в Windows Event Tracing Discretionary Access Control List;

CVE-2022-21836 – спуфинг сертификата Windows (уже существует PoC-эксплоит).

24 уязвимости были исправлены в одном только Microsoft Edge на базе Chromium. Согласно Zero Day Initiative (ZDI), такое количество нехарактерно для января – в предыдущие годы число уязвимостей в браузере было вдвое меньше.

Microsoft также обновила систему уведомлений Security Update Guide. Отныне при регистрации принимаются не только Live ID, но и стандартные электронные адреса.