中國信息安全 - CNNVD | 關於微軟多個安全漏洞的預警－鑽石舞台

Mar 12 Sat 2022 12:33
中國信息安全 - CNNVD | 關於微軟多個安全漏洞的預警

掃碼訂閱《中國信息安全》雜誌

權威刊物重要平台關鍵渠道

郵發代號 2-786

近日，微軟官方發布了多個安全漏洞的公告，其中微軟產品本身漏洞72個，影響到微軟產品的其他廠商漏洞2個。包括OpenSSL 緩衝區錯誤漏洞（CNNVD-202108-1945、CVE-2021-3711）、Microsoft WindowsMedia Foundation權限許可和訪問控制問題漏洞（CNNVD-202108-841、CVE-2021-36927）等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布了漏洞修復補丁，建議用戶及時確認是否受到漏洞影響，儘快採取修補措施。

一、漏洞介紹

2022年3月9日，微軟發布了2022年3月份安全更新，共74個漏洞的補丁程序，CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和Windows 組件、Microsoft Skype Extensionfor Chrome、Microsoft Windows CD-ROM Driver、Microsoft HEIF Image Extensions、MicrosoftOffice Visio、Microsoft Windows Fastfat Driver等。CNNVD對其危害等級進行了評價，其中超危漏洞1個，高危漏洞52個，中危漏洞19個，低危漏洞2個。微軟多個產品和系統版本受漏洞影響，具體影響範圍可訪問https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。

二、漏洞詳情

此次更新共包括72個漏洞的補丁程序，其中高危漏洞52個，中危漏洞18個，低危漏洞2個。

序號

漏洞名稱

CNNVD編號

CVE編號

危害等級

官方鏈接

Microsoft Windows Media Foundation權限許可和訪問控制問題漏洞

CNNVD-202108-841

CVE-2021-36927

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36927

Microsoft Dynamics 代碼注入漏洞

CNNVD-202202-696

CVE-2022-21957

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21957

Microsoft XBox 權限許可和訪問控制問題漏洞

CNNVD-202203-695

CVE-2022-21967

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21967

Microsoft Remote Desktop Client 代碼注入漏洞

CNNVD-202203-691

CVE-2022-21990

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21990

Microsoft HEVC Video Extensions 代碼注入漏洞

CNNVD-202203-734

CVE-2022-22006

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22006

Microsoft HEVC Video Extensions 代碼注入漏洞

CNNVD-202203-732

CVE-2022-22007

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22007

Microsoft Defender for IoT 代碼注入漏洞

CNNVD-202203-751

CVE-2022-23265

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23265

Microsoft Defender 權限許可和訪問控制問題漏洞

CNNVD-202203-753

CVE-2022-23266

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23266

Microsoft Exchange Server 代碼注入漏洞

CNNVD-202203-708

CVE-2022-23277

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23277

Microsoft Paint 3D 代碼注入漏洞

CNNVD-202203-711

CVE-2022-23282

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23282

Microsoft Windows ALPC 權限許可和訪問控制問題漏洞

CNNVD-202203-682

CVE-2022-23283

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23283

Microsoft Windows Print Spooler Components 權限許可和訪問控制問題漏洞

CNNVD-202203-685

CVE-2022-23284

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23284

Microsoft Remote Desktop Client 代碼注入漏洞

CNNVD-202203-679

CVE-2022-23285

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23285

Microsoft Windows Cloud Files Mini Filter Driver 權限許可和訪問控制問題漏洞

CNNVD-202203-681

CVE-2022-23286

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23286

Microsoft Windows ALPC 權限許可和訪問控制問題漏洞

CNNVD-202203-680

CVE-2022-23287

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23287

Microsoft DWM Core Library 權限許可和訪問控制問題漏洞

CNNVD-202203-678

CVE-2022-23288

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23288

Microsoft Windows COM 權限許可和訪問控制問題漏洞

CNNVD-202203-687

CVE-2022-23290

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23290

Microsoft DWM Core Library 權限許可和訪問控制問題漏洞

CNNVD-202203-683

CVE-2022-23291

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23291

Microsoft Windows Fastfat Driver 權限許可和訪問控制問題漏洞

CNNVD-202203-675

CVE-2022-23293

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23293

Microsoft Windows Event Tracing 代碼注入漏洞

CNNVD-202203-676

CVE-2022-23294

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23294

Microsoft Raw Image Extension 代碼注入漏洞

CNNVD-202203-742

CVE-2022-23295

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23295

Microsoft Windows Installer 權限許可和訪問控制問題漏洞

CNNVD-202203-677

CVE-2022-23296

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23296

Microsoft Windows NT OS Kernel 權限許可和訪問控制問題漏洞

CNNVD-202203-674

CVE-2022-23298

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23298

Microsoft Windows PDEV 權限許可和訪問控制問題漏洞

CNNVD-202203-671

CVE-2022-23299

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23299

Microsoft Raw Image Extension 代碼注入漏洞

CNNVD-202203-741

CVE-2022-23300

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23300

Microsoft HEVC Video Extensions 代碼注入漏洞

CNNVD-202203-731

CVE-2022-23301

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23301

Microsoft VP9 Video Extensions 代碼注入漏洞

CNNVD-202203-760

CVE-2022-24451

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24451

Microsoft HEVC Video Extensions 代碼注入漏洞

CNNVD-202203-737

CVE-2022-24452

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24452

Microsoft HEVC Video Extensions 代碼注入漏洞

CNNVD-202203-733

CVE-2022-24453

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24453

Microsoft Windows Security Account Manager 權限許可和訪問控制問題漏洞

CNNVD-202203-670

CVE-2022-24454

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24454

Microsoft Windows CD-ROM Driver 權限許可和訪問控制問題漏洞

CNNVD-202203-672

CVE-2022-24455

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24455

Microsoft HEVC Video Extensions 代碼注入漏洞

CNNVD-202203-738

CVE-2022-24456

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24456

Microsoft HEIF Image Extensions 代碼注入漏洞

CNNVD-202203-764

CVE-2022-24457

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24457

Microsoft Windows Fax and Scan Service 權限許可和訪問控制問題漏洞

CNNVD-202203-667

CVE-2022-24459

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24459

Microsoft Tablet Windows User Interface 權限許可和訪問控制問題漏洞

CNNVD-202203-668

CVE-2022-24460

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24460

Microsoft Office Visio 代碼注入漏洞

CNNVD-202203-727

CVE-2022-24461

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24461

Microsoft .NET Core和Microsoft Visual Studio 輸入驗證錯誤漏洞

CNNVD-202203-701

CVE-2022-24464

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24464

Microsoft Azure Site Recovery 代碼注入漏洞

CNNVD-202203-725

CVE-2022-24467

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24467

Microsoft Azure Site Recovery 代碼注入漏洞

CNNVD-202203-722

CVE-2022-24468

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24468

Microsoft Azure Site Recovery 權限許可和訪問控制問題漏洞

CNNVD-202203-724

CVE-2022-24469

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24469

Microsoft Azure Site Recovery 代碼注入漏洞

CNNVD-202203-720

CVE-2022-24470

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24470

Microsoft Azure Site Recovery 代碼注入漏洞

CNNVD-202203-719

CVE-2022-24471

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24471

Microsoft VP9 Video Extensions 代碼注入漏洞

CNNVD-202203-767

CVE-2022-24501

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24501

Microsoft Windows ALPC 權限許可和訪問控制問題漏洞

CNNVD-202203-669

CVE-2022-24505

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24505

Microsoft Windows Ancillary Function Driver for WinSock 權限許可和訪問控制問題漏洞

CNNVD-202203-665

CVE-2022-24507

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24507

Microsoft SMBv3 代碼注入漏洞

CNNVD-202203-661

CVE-2022-24508

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24508

Microsoft Office Visio 代碼注入漏洞

CNNVD-202203-714

CVE-2022-24509

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24509

Microsoft Office Visio 代碼注入漏洞

CNNVD-202203-713

CVE-2022-24510

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24510

Microsoft Azure Site Recovery 代碼注入漏洞

CNNVD-202203-716

CVE-2022-24517

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24517

Microsoft Azure Site Recovery 代碼注入漏洞

CNNVD-202203-718

CVE-2022-24520

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24520

Microsoft Skype Extension for Chrome 信息泄露漏洞

CNNVD-202203-728

CVE-2022-24522

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24522

Microsoft Windows Update 權限許可和訪問控制問題漏洞

CNNVD-202203-659

CVE-2022-24525

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24525

Microsoft Windows Media 輸入驗證錯誤漏洞

CNNVD-202203-697

CVE-2022-21973

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21973

Microsoft Hyper-V 輸入驗證錯誤漏洞

CNNVD-202203-693

CVE-2022-21975

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21975

Microsoft Windows Media Foundation 緩衝區錯誤漏洞

CNNVD-202203-689

CVE-2022-22010

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22010

Microsoft Windows Point-to-Point Tunneling Protocol 輸入驗證錯誤漏洞

CNNVD-202203-684

CVE-2022-23253

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23253

Microsoft Defender 安全漏洞

CNNVD-202203-717

CVE-2022-23278

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23278

Microsoft Windows Common Log File System Driver 信息泄露漏洞

CNNVD-202203-686

CVE-2022-23281

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23281

Microsoft NT LAN Manager 信息泄露漏洞

CNNVD-202203-673

CVE-2022-23297

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23297

Microsoft Word 安全特徵問題漏洞

CNNVD-202203-726

CVE-2022-24462

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24462

Microsoft Exchange Server 信息泄露漏洞

CNNVD-202203-700

CVE-2022-24463

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24463

Microsoft Windows HTML Platform 安全特徵問題漏洞

CNNVD-202203-664

CVE-2022-24502

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24502

Microsoft Remote Desktop Protocol Client 緩衝區錯誤漏洞

CNNVD-202203-666

CVE-2022-24503

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24503

Microsoft Azure Site Recovery 權限許可和訪問控制問題漏洞

CNNVD-202203-715

CVE-2022-24506

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24506

Microsoft Word 輸入驗證錯誤漏洞

CNNVD-202203-710

CVE-2022-24511

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24511

Microsoft .NET Core和Microsoft Visual Studio 代碼注入漏洞

CNNVD-202203-699

CVE-2022-24512

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24512

Microsoft Azure Site Recovery 權限許可和訪問控制問題漏洞

CNNVD-202203-721

CVE-2022-24515

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24515

Microsoft Azure Site Recovery 權限許可和訪問控制問題漏洞

CNNVD-202203-729

CVE-2022-24518

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24518

Microsoft Azure Site Recovery 權限許可和訪問控制問題漏洞

CNNVD-202203-723

CVE-2022-24519

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24519

Microsoft Visual Studio Code 安全漏洞

CNNVD-202203-730

CVE-2022-24526

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24526

Microsoft Windows Media Foundation 緩衝區錯誤漏洞

CNNVD-202203-692

CVE-2022-21977

低危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21977

Microsoft Intune 安全特徵問題漏洞

CNNVD-202203-773

CVE-2022-24465

低危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24465

此次更新共包括2個影響微軟產品的其他廠商漏洞的補丁程序，其中超危漏洞1個中危漏洞1個。

序號

漏洞名稱

CNNVD編號

CVE編號

危害等級

廠商

官方鏈接

OpenSSL 緩衝區錯誤漏洞

CNNVD-202108-1945

CVE-2021-3711

超危

Openssl團隊

https://git.openssl.org/?p=openssl.git;a=summary

Google brotli Library 緩衝區錯誤漏洞

CNNVD-202009-910

CVE-2020-8927

中危

Google

https://github.com/google/brotli/releases/tag/v1.0

三、修復建議

目前，微軟官方已經發布補丁修復了上述漏洞，建議用戶及時確認漏洞影響，儘快採取修補措施。微軟官方補丁下載地址：https://msrc.microsoft.com/update-guide/en-usCNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯繫。聯繫方式:cnnvdvul@itsec.gov.cn

（來源：CNNVD）