2022 年5月第二個星期二，也是一年中的第5個星期二補丁日，軟件廠商 Adobe 和 Microsoft 在此日定期發(fā)布最新安全更新。

針對 Adobe CloudFusion、InCopy、Framemaker、InDesign 和 Adobe Character Animator 中的 18 個 CVE，其中九個是嚴(yán)重級別的錯誤，可能導(dǎo)致代碼執(zhí)行，主要是由于越界 (OOB) 寫入漏洞。InDesign的補丁解決了三個可能導(dǎo)致代碼執(zhí)行的嚴(yán)重錯誤。其中兩個是由于 OOB 寫入，而一個是 OOB 讀取。InCopy的補丁還修復(fù)了三個嚴(yán)重級別的代碼執(zhí)行錯誤。在這種情況下，它是兩個 OOB 寫入加上一個釋放后使用 (UAF)。補丁為Character Animator修復(fù)了一個關(guān)鍵級別的 OOB 寫入代碼執(zhí)行錯誤。最后，ColdFusion補丁更正了一個重要級別的反射跨站點腳本 (XSS) 錯誤。

2022 年 5 月的 Microsoft 補丁

5 月份，微軟發(fā)布了 74 個新補丁，解決了 Microsoft Windows 和 Windows 組件、.NET 和 Visual Studio、Microsoft Edge(基于 Chromium)、Microsoft Exchange Server、Office 和 Office 組件、Windows Hyper-V、Windows 身份驗證方法、BitLocker 中的 CVE 、Windows 群集共享卷 (CSV)、遠(yuǎn)程桌面客戶端、Windows 網(wǎng)絡(luò)文件系統(tǒng)、NTFS 和 Windows 點對點隧道協(xié)議。74 個 CVE 漏洞中，7 個被評為嚴(yán)重，66 個被評為重要，1 個被評為低嚴(yán)重性，與過去 5 月的發(fā)行量相比，比 2021 年 5 月多 19 個，比 2019 年 5 月少 5 個，整個 2020 年每個月都有點反常，因此不具備可比性。

其中包括 24 個遠(yuǎn)程代碼執(zhí)行 (RCE)、21 個特權(quán)提升、17 個信息泄露和 6 個拒絕服務(wù)漏洞等。這些更新是對 2022 年 4 月 28 日在基于 Chromium 的 Microsoft Edge 瀏覽器中修補的36 個漏洞的補充。已解決的漏洞中最主要的是CVE-2022-26925(CVSS 評分：8.1)，這是一個影響 Windows 本地安全機構(gòu) ( LSA ) 的欺騙漏洞，微軟將其描述為“對用戶進(jìn)行身份驗證并將用戶登錄到本地系統(tǒng)的受保護(hù)子系統(tǒng)。如果該漏洞與針對 Active Directory 證書服務(wù) (AD CS)(例如PetitPotam )的NTLM 中繼攻擊鏈接在一起，該漏洞的嚴(yán)重等級將提升至 9.8 。

這個漏洞在野外被積極利用，它允許攻擊者在 NTLM 中繼攻擊中驗證為已批準(zhǔn)用戶的身份 - 讓威脅參與者能夠訪問身份驗證協(xié)議的哈希值。

另外兩個眾所周知的漏洞如下：

• CVE-2022-29972(CVSS 分?jǐn)?shù)：8.2)- Insight Software：CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC 驅(qū)動程序(又名SynLapse)
• CVE-2022-22713(CVSS 分?jǐn)?shù)：5.6)- Windows Hyper-V 拒絕服務(wù)漏洞

微軟于 4 月 15 日修復(fù)了 CVE-2022-29972，在可利用性指數(shù)上將其標(biāo)記為“更有可能被利用”，因此受影響的用戶必須盡快應(yīng)用更新。Redmond 還修補了 Windows 網(wǎng)絡(luò)文件系統(tǒng) ( CVE-2022-26937 )、Windows LDAP ( CVE-2022-22012、CVE-2022-29130 )、Windows 圖形 ( CVE-2022-26927 )、Windows 內(nèi)核 ( CVE-2022-29133 )、遠(yuǎn)程過程調(diào)用運行時 ( CVE-2022-22019 ) 和 Visual Studio Code ( CVE-2022-30129 )。

此次，我國的網(wǎng)絡(luò)安全實驗室昆侖實驗室報告了 74 個漏洞中的 30 個，包括 CVE-2022-26937、CVE-2022-22012 和 CVE-2022-29130。