2022年5月安全更新程序(月例)
2022年5月10日(美国时间),微软发布了安全更新程序,以修复影响微软产品的漏洞。客户应尽快应用已发布的安全更新程序。最新信息请查看安全更新指南。
此外,本月的“恶意软件删除工具”中增加了可通过该工具删除的恶意软件。详细信息请参阅目标恶意软件家族。
安全更新程序、安全公告的主要注意事项
- 本月安全更新程序修复的漏洞中,CVE-2022-26925 Windows LSA欺骗漏洞已确认被利用。此外,该漏洞信息在安全更新发布前已公开。客户应尽快应用更新程序。详情请参阅CVE-2022-26925。
- 本月安全更新程序修复的漏洞中,CVE-2022-22713(Windows Hyper-V)尚未确认被利用,但漏洞信息在安全更新发布前已公开。客户应尽快应用更新程序。详情请参阅CVE-2022-22713。
- CVE-2022-22012(Windows LDAP)、CVE-2022-29130(Windows LDAP)、CVE-2022-26937(Microsoft网络文件系统)的CVSS基本值为9.8,评分较高,且无需认证或用户操作即可利用。关于存在这些漏洞的产品及利用条件,请参阅各CVE页面的“常见问题”。虽然漏洞信息在安全更新发布前未公开或未被利用,但鉴于漏洞特性,建议企业组织尽快进行风险评估和应用安全更新。
- 为保护系统免受Microsoft Exchange漏洞CVE-2022-21978的影响,除了应用安全更新外,还需执行额外操作。Microsoft Exchange管理员请参阅CVE-2022-21978和Microsoft Exchange团队博客Released: May 2022 Exchange Server Security Updates,并执行必要操作。
- 部署2022年5月安全更新程序的指南,请同时参考2022年5月安全更新程序的部署支持技术文章。
- 安全更新程序的已知问题请参阅各安全更新的支持技术文章。已知问题的各安全更新支持技术文章列表刊登在2022年5月安全更新发布说明中。
- [5/11追加] 本月安全更新程序修复的漏洞CVE-2022-26931和CVE-2022-26923是Active Directory环境中基于证书的认证行为中存在的特权提升问题。应用2022年5月安全更新程序后,将进入“兼容模式(Compatibility Mode)”。此模式下,基于证书的认证照常工作,但认证时会记录审计日志。为保护系统免受漏洞影响,需在KDC中更改注册表,强化基于证书的认证。强化基于证书的认证计划在2023年5月安全更新日前交付设置强化的更新程序。使用Active Directory环境的客户请尽快参考支持技术文章KB5014754—Certificate-based authentication changes on Windows domain controllers,确认组织内影响后实施基于证书的认证强化。
2022年5月发布安全更新程序的产品、组件列表
2022年5月10日(美国时间)发布安全更新程序的产品及组件列表,请查看2022年5月安全更新发布说明。
2022年5月安全更新程序列表
2022年5月10日(美国时间)发布的安全更新程序列表如下。最新信息请查看安全更新指南。
| 产品系列 | 最大严重性 | 最大影响 | 相关支持技术文章或支持网页 |
|---|---|---|---|
| Windows 11 | 紧急 | 远程代码执行 | 5013943 |
| Windows 10 v21H2, v21H1, v20H2,及v1909 | 紧急 | 远程代码执行 | Windows 10 21H2, 21H1,20H2 5013942 Windows 10 1909, 5013945 |
| Windows Server 2022(含Server Core安装) | 紧急 | 远程代码执行 | 5013944 |
| Windows Server 2019, 2016, v20 H2(含Server Core安装) | 紧急 | 远程代码执行 | Windows Server 2019, 5013941 Windows Server 2016, 5013952 |
| Windows 8.1, Windows Server 2012 R2, Windows Server 2012(含Server Core安装) | 紧急 | 远程代码执行 | Windows 8.1, Windows Server 2012 R2 Monthly Rollup 5014011 Security Only 5014001 Windows Server 2012 Monthly Rollup 5014017 Security Only 5014018 |
| Microsoft Office | 重要 | 远程代码执行 | 安全更新程序详情请参考安全更新指南及https://docs.microsoft.com/officeupdates |
| Microsoft SharePoint | 重要 | 远程代码执行 | 安全更新程序详情请参考安全更新指南及https://docs.microsoft.com/ja-jp/SharePoint/ |
| Microsoft Exchange Server | 重要 | 特权提升 | 安全更新程序详情请参考安全更新指南及https://docs.microsoft.com/exchange |
| Microsoft .NET | 重要 | 服务拒绝 | 安全更新程序详情请参考安全更新指南及https://docs.microsoft.com/dotnet |
| Microsoft Visual Studio | 重要 | 远程代码执行 | 安全更新程序详情请参考安全更新指南及https://docs.microsoft.com/visualstudio |
| Remote Desktop client for Windows Desktop | 紧急 | 远程代码执行 | 安全更新程序详情请参考安全更新指南及https://docs.microsoft.com/windows-server/remote/remote-desktop-services/clients/windowsdesktop |
| Self-hosted Integration Runtime | 重要 | 远程代码执行 | 安全更新程序详情请参考安全更新指南及MICROSOFT INTEGRATION RUNTIME – RELEASE NOTES |
现有漏洞信息更新
2022年5月10日(美国时间)更新了3件现有漏洞。
- CVE-2022-24513 Visual Studio特权提升漏洞:为全面应对CVE-2022-24513,微软发布了以下支持版本的Visual Studio的2022年5月安全更新程序。强烈建议安装此更新程序以完全保护系统免受此漏洞影响。
- Visual Studio 2017 Version 15.9
- Visual Studio 2019 Version 16.9
- Visual Studio 2019 Version 16.11
- Microsoft Visual Studio 2022 Version 17.0
- Microsoft Visual Studio 2022 Version 17.1
- CVE-2022-26788 PowerShell特权提升漏洞:为全面应对CVE-2022-26788,微软发布了支持版本的Windows 7和Windows Server 2008 R2的2022年5月安全更新程序。注册扩展安全更新(ESU)程序的客户强烈建议安装此更新程序以完全保护系统免受此漏洞影响。
- CVE-2022-1096 Chromium: CVE-2022-1096 Type Confusion in V8:由于受此Chrome漏洞影响的webview2组件已纳入“安全更新程序”列表中的Visual Studio 2022 Version 17.0和Visual Studio 2022 Version 17.1,因此将这些版本的Visual Studio添加到“安全更新程序”列表中。2022年5月的安全更新程序包含webview2的更新程序。强烈建议安装此更新程序以完全保护系统免受此漏洞影响。
现有安全公告更新
2022年5月10日(美国时间)更新了1件现有公告。
- ADV990001 最新服务堆栈更新程序:公告已更新,以通知新版本服务堆栈更新程序可用。详情请参阅公告的FAQ。
补充信息
- 最新服务堆栈更新程序(SSU)请在公告ADV990001中查看。
- Microsoft Edge(基于Chromium)的安全信息发布计划与月例发布不同,请在安全更新指南中选择产品Microsoft Edge(基于Chromium)查看,或在Edge的安全发布信息中查看。
- 各漏洞信息(CVE)页面可能刊登缓解措施、回避措施、注意事项及常见问题等附加信息。应用安全更新程序前请一并确认。
- 最新信息请查看安全更新指南。安全更新指南中可按CVE、KB编号、产品或发布日期排序或筛选安全漏洞及更新程序信息。筛选每月安全更新程序时,请指定该月第二个星期二的日期范围进行搜索。此外,可利用安全更新指南API创建自定义报告。介绍了API使用方法的6个视频(API信息(GitHub)、访问API、输出HTML文件、导出到Excel、获取CVE列表、获取KB列表)已公开,请务必利用。
- 计划实现安全更新指南有更新时的通知机制。详情请参阅博客“Coming Soon: A Brand-New Notification System!”。
下次安全更新程序发布计划于2022年6月14日(美国时间)。详情请参阅年度计划。
更新历史
2022年5月11日:追加安全更新程序、安全公告的主要注意事项。