針對近期曝光的 Windows 桌面和服務(wù)器高危漏洞，微軟在本月的補(bǔ)丁星期二活動日中發(fā)布了一個補(bǔ)丁。該漏洞存在于 HTTP 協(xié)議棧(HTTP.sys)中，只需向利用 HTTP 協(xié)議棧(http.sys)處理數(shù)據(jù)包的目標(biāo)服務(wù)器發(fā)送一個特制的數(shù)據(jù)包就可以被利用。攻擊者甚至不需要經(jīng)過認(rèn)證。

幸運(yùn)的是，目前還沒有 CVE-2022-21907的概念驗(yàn)證代碼被發(fā)布，而且也沒有證據(jù)表明該漏洞已經(jīng)被黑客利用。在WindowsServer 2019 和 Windows 10 Version 1809 版本中，包含該漏洞的 HTTP Trailer Support 功能默認(rèn)不激活。必須配置以下注冊表鍵，以引入漏洞條件。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\ 
 
"EnableTrailerSupport"=dword:00000001 

這一緩解措施不適用于其他受影響的版本。盡管如此，微軟建議IT人員優(yōu)先對受影響的服務(wù)器進(jìn)行修補(bǔ)。