0x00 高危漏洞补丁发布

微软最新一轮的月度安全更新已经发布，修复了其软件组合中的68个漏洞，包括六个主动利用的0day漏洞的补丁。其中12个问题被评为严重，两个被评为高，55个问题被评为严重性重要。这还包括OpenSSL的漏洞问题。本月单独解决了基于 Chromium 的浏览器中一个被积极利用的漏洞 （CVE-2022-3723），九月底公开的两个影响Exchange Server的0day CVE也得到了修复，建议客户立即更新其Exchange Server系统。

0x01 Windows高危利用漏洞列表

六个权限提升和代码执行0day漏洞列表如下 -

• CVE-2022-41040（CVSS 分数：8.8） - 微软 Exchange 服务器特权提升漏洞（又名 ProxyNotShell）
• CVE-2022-41082（CVSS 分数：8.8） - 微软 Exchange 服务器特权提升漏洞（又名 ProxyNotShell）
• CVE-2022-41128（CVSS 分数：8.8） - Windows 脚本语言远程执行代码漏洞
• CVE-2022-41125（CVSS 分数：7.8） - Windows CNG 密钥隔离服务特权提升漏洞
• CVE-2022-41073（CVSS 分数：7.8） - Windows 打印后台处理程序特权提升漏洞
• CVE-2022-41091（CVSS 分数：5.4） - Windows 网络安全功能绕过漏洞标记

0x02 其他的高危利用漏洞修复

11月补丁中的其他四个严重级漏洞是 Windows Kerberos （CVE-2022-37967）、Kerberos RC4-HMAC（CVE-2022-37966） 和微软 Exchange Server （CVE-2022-41080） 中的特权提升漏洞，以及影响 Windows Hyper-V 的拒绝服务漏洞 （CVE-2022-38015）。

除了这些问题之外，周二补丁更新还解决了Microsoft Excel，Word，ODBC驱动程序，Office Graphics，SharePoint Server和Visual Studio中的许多远程代码执行缺陷，以及Win32k，Overlay Filter和组策略中的许多权限升级错误。建议以上受影响用户升级系统补丁修复。