2022年5月的第二个星期二也是今年的第五个PatchTuesday。软件制造商Adob??e和Microsoft定期在这一天发布最新的安全更新。AdobeCloudFusion、InCopy、Framemaker、InDesign和Adob??eCharacterAnimator中的18个CVE中有9个是可能导致代码执行的严重错误,主要是由于越界(OOB)写入漏洞。InDesign的补丁解决了三个可能导致代码执行的严重错误。其中两个是由于OOB写入,一个是由于OOB读取。InCopy的补丁还修复了三个严重级别的代码执行错误。在本例中,它是两次OOB写入加上一次释放后使用(UAF)。补丁修复了CharacterAnimator的关键级别OOB写入代码执行错误。最后,ColdFusion补丁更正了大量反射性跨站点脚本(XSS)错误。MicrosoftPatch2022年5月,Microsoft发布了74个新补丁,解决MicrosoftWindows和Windows组件、.NET和VisualStudio、MicrosoftEdge(基于Chromium)、MicrosoftExchangeServer、Office和Office组件、WindowsHyper-V、Windows身份验证方法、BitLocker中的CVE、Windows群集共享卷(CSV)、远程桌面客户端、Windows网络文件系统、NTFS和Windows点对点隧道协议。74个CVE漏洞中,严重等级7个,重要等级66个,低危等级1个,比2021年5月增加19个,比2019年增加19个,2020年5月减少5个,整个2020年每个月都有一点的异常,所以它没有可比性。其中包括24个远程代码执行(RCE)、21个权限提升、17个信息泄露和6个拒绝服务漏洞等。这些更新是对2022年4月28日在基于Chromium的MicrosoftEdge浏览器中修补的36个漏洞的补充。已解决的漏洞中最主要的是CVE-2022-26925(CVSS分数:8.1),这是一个影响Windows的欺骗漏洞本地安全机构(LSA),Microsoft将其描述为“对用户进行身份验证并登录到本地系统的受保护子系统。如果该漏洞与针对ActiveDirectory证书服务(ADCS)(例如PetitPotam)的NTLM中继攻击有关,则该漏洞的严重等级将提高到9.8。此漏洞在野外被积极利用,它允许攻击者在NTLM中继攻击中作为已批准的用户进行身份验证-使威胁参与者能够访问身份验证协议的哈希值。另外两个众所周知的漏洞如下:CVE-2022-29972(CVSS分数:8.2)-InsightSoftware:CVE-2022-29972MagnitudeSimbaAmazonRedshiftODBC驱动程序(又名SynLapse)CVE-2022-22713(CVSS分数:5.6)——WindowsHyper-V拒绝服务漏洞微软于4月15日在雷德蒙德修补了CVE-2022-29972,在可利用指数上将其标记为“更有可能被利用”,因此受影响的用户必须申请尽快更新。Redmond还修补了Windows网络文件系统(CVE-2022-26937)、WindowsLDAP(CVE-2022-22012、CVE-2022-29130)、Windows图形(CVE-2022-26927)、Windows内核(CVE-2022-29133)、远程过程调用运行时(CVE-2022-22019)和VisualStudioCode(CVE-2022-30129)。此次,中国网络安全实验室昆仑实验室报告了74个漏洞中的30个,包括CVE-2022-26937、CVE-2022-22012和CVE-2022-29130。
