9 月份,Adobe 在 Adobe Experience Manager、Bridge、InDesign、Photoshop、InCopy、Animate 和 Illustrator 中发布了 7 个补丁,解决了 63 个问题。ZDI 高级漏洞研究员 Mat Powell 报告了总共 42 个此类错误。InDesign的更新是本月最大的补丁,修复了 8 个严重级别和 10 个重要级别的漏洞。如果在受影响的系统上打开特制文件,其中最严重的可能会导致代码执行。Photoshop补丁修复了10 个 CVE,其中 9 个被评为严重。同样,如果攻击者可以说服用户打开恶意文件,他们就可以获得代码执行。InCopy的修复修复了五个类似的代码执行错误和两个信息泄露错误。土坯Animate还会收到针对两个严重代码执行错误的补丁。
Adobe Bridge的更新更正了 10 个严重级别的代码执行错误和两个重要级别的信息泄露错误。修补的三个Illustrator漏洞之一也可能导致代码执行。与前面提到的错误一样,用户需要打开带有受影响软件版本的恶意文件。最后,Adobe Experience Manager 的补丁解决了 11 个重要级别的错误,主要是跨站点脚本 (XSS) 种类。
Adobe 本月修复的所有错误均未列为公开已知或在发布时受到主动攻击。Adobe 将这些更新归类为部署优先级 3。
2022 年 9 月的 Apple 补丁
昨天,Apple 发布了 iOS、iPadOS、macOS 和 Safari 的更新。他们还发布了 watchOS 和 tvOS 的更新,但没有提供这些补丁中包含的任何修复的详细信息。Apple 修补的两个错误被确定为正在被积极利用。第一个是不正确的边界检查导致的内核错误 (CVE-2022-32917)。影响 iOS 15 和 iPadOS 15、macOS Big Sur 和 macOS Monterey。有趣的是,这个 CVE 也列在 iOS 16 的公告中,但它并没有被称为针对这种操作系统的积极利用。macOS 的 Big Sur 版本还包括对内核中的越界 (OOB) 写入错误 (CVE-2022-32894) 的修复,该错误也被列为受到主动攻击。最后一点:Apple 在其 iOS 16 公告中指出“即将添加其他 CVE 条目。” 其他错误也可能影响此版本的操作系统。无论哪种方式,是时候更新 Apple 设备了。
不知道,是谁最先开始以讹传讹说Apple最安全,如果如传说的那么好,苹果也不需要开发补丁了。
本月,微软漏洞修补记录算是一个比较折中的数字,较上个月几乎降低了一半,回到今天的主角。
科技巨头微软周二发布了修复程序,以消除其软件系列中的64 个新安全漏洞,其中包括一个在现实世界攻击中被积极利用的零日漏洞。
在 64 个错误中,5 个被评为严重,57 个被评为重要,1 个被评为中等,1 个被评为低严重性。这些补丁是微软本月早些时候在其基于 Chromium 的 Edge 浏览器中解决的16 个漏洞的补充。
Qualys 漏洞和威胁研究主管 Bharat Jogi 分享的一份声明中表示:“就发布的 CVE 而言,与其他月份相比,本周二的补丁可能显得较为轻松。然而,本月达到了日历年的一个相当大的里程碑,MSFT 修复了 2022 年的第 1000 个 CVE——可能有望超过 2021 年,总共修补了 1,200 个 CVE。”
有问题的被积极利用的漏洞是CVE-2022-37969(CVSS 分数:7.8),这是一个影响 Windows 通用日志文件系统 ( CLFS ) 驱动程序的权限提升漏洞,攻击者可以利用该漏洞在已经受到攻击的系统上获得 SYSTEM 权限资产。
微软在一份公告中说:“攻击者必须已经拥有访问权限并能够在目标系统上运行代码。如果攻击者在目标系统上还没有这种能力,这种技术不允许远程执行代码”。
Rapid7 的产品经理 Greg Wiseman 在一份声明中表示,这家科技巨头将来自 CrowdStrike、DBAPPSecurity、Mandiant 和 Zscaler 的四组不同研究人员报告了该漏洞,这可能表明该漏洞在野外被广泛利用。
CVE-2022-37969 也是自年初以来CVE-2022-24521(CVSS 评分:7.8)之后 CLFS 组件中第二个被积极利用的零日漏洞,后者已被微软作为其解决方案的一部分解决。2022 年 4 月补丁星期二更新。
目前尚不清楚 CVE-2022-37969 是否是 CVE-2022-24521 的补丁绕过。其他值得注意的严重缺陷如下:
- CVE-2022-34718(CVSS 分数:9.8)- Windows TCP/IP 远程代码执行漏洞
- CVE-2022-34721(CVSS 评分:9.8)——Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞
- CVE-2022-34722(CVSS 评分:9.8)——Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞
- CVE-2022-34700(CVSS 分数:8.8)- Microsoft Dynamics 365(本地)远程代码执行漏洞
- CVE-2022-35805(CVSS 分数:8.8)- Microsoft Dynamics 365(本地)远程代码执行漏洞
微软在谈到 CVE-2022-34721 和 CVE-2022-34722 时表示:“未经身份验证的攻击者可以将特制的 IP 数据包发送到运行 Windows 并启用 IPSec 的目标计算机,这可能会启用远程代码执行漏洞。”
CVE-2022-37969 - Windows 通用日志文件系统驱动程序特权提升漏洞通用日志文件系统 (CLFS) 中的此错误允许经过身份验证的攻击者以提升的特权执行代码。这种性质的错误通常被包含在某种形式的社会工程攻击中,例如说服某人打开文件或单击链接。一旦他们这样做了,额外的代码就会以提升的权限执行以接管系统。通常,我们几乎没有得到关于漏洞利用的广泛范围的信息。但是,微软将报告此错误的四个不同机构归功于四个不同的机构,因此它可能不仅仅是有针对性的攻击。
CVE-2022-34718 - Windows TCP/IP 远程代码执行漏洞这个严重级别的错误可能允许远程、未经身份验证的攻击者在受影响的系统上以提升的权限执行代码,而无需用户交互。这正式将其归入“可蠕虫”类别,并获得 9.8 的 CVSS 评级。但是,只有启用了 IPv6 并配置了 IPSec 的系统易受攻击。虽然对某些人来说是个好消息,但如果您使用的是 IPv6(很多人都在使用),那么您可能也在运行 IPSec。绝对要快速测试和部署此更新。
CVE-2022-34724 - Windows DNS 服务器拒绝服务漏洞此错误仅被评为重要,因为没有机会执行代码,但由于其潜在影响,您可能应该将其视为严重。未经身份验证的远程攻击者可以在您的 DNS 服务器上创建拒绝服务 (DoS) 条件。目前尚不清楚 DoS 是否只是杀死了 DNS 服务或整个系统。关闭 DNS 总是很糟糕,但由于云中有如此多的资源,丢失指向这些资源的 DNS 对许多企业来说可能是灾难性的。
CVE-2022-3075 - Chromium:CVE-2022-3075 Mojo 中的数据验证不足 此补丁由 Google Chrome 团队于 9 月 2 日发布,因此这更像是“以防万一你错过了它”。此漏洞允许在受影响的基于 Chromium 的浏览器(如 Edge)上执行代码,并且已在野外检测到。这是今年在野外检测到的第六个 Chrome 漏洞。这一趋势表明,近乎无处不在的浏览器平台已成为攻击者的热门目标。确保基于 Chromium更新所有系统。
Microsoft 还解决了Microsoft ODBC 驱动程序、Microsoft OLE DB Provider for SQL Server 和 Microsoft SharePoint Server中的 15 个远程代码执行漏洞,以及跨越 Windows Kerberos 和 Windows Kernel 的五个权限提升漏洞。
9 月的版本更值得注意的是,它修补了 Print Spooler 模块( CVE-2022-38005 ,CVSS 分数:7.8)中的另一个特权提升漏洞,该漏洞可能被滥用以获得系统级权限。最后,包括在大量安全更新中的是芯片制造商 Arm 针对今年 3 月初曝光的称为分支历史注入或Spectre-BHB (CVE-2022-23960)的推测执行漏洞发布的修复程序。
Jogi 说:“这类漏洞给试图缓解的组织带来了很大的麻烦,因为它们通常需要更新操作系统、固件,在某些情况下,还需要重新编译应用程序和加固,如果攻击者成功利用此类漏洞,他们就可以访问敏感信息。”
