2022年6月安全更新程序（月例）

日本安全团队
2022年6月14日 · 20分钟阅读

2022年6月14日（美国时间），微软发布了安全更新程序，以修复影响微软产品的漏洞。客户应尽快应用已发布的安全更新程序。最新信息请查看安全更新指南。
本月“恶意软件删除工具”未添加新家族。

安全更新程序、安全公告的主要注意事项

• 2022年5月30日（美国时间）发布的CVE-2022-30190（Microsoft Windows支持诊断工具（MSDT）远程代码执行漏洞）的修复更新已发布。修复包含在6月的月例安全更新中。该漏洞详情已公开，且确认存在漏洞利用。客户应尽快应用更新程序。详情参见CVE-2022-30190和CVE-2022-30190微软支持诊断工具漏洞指南。
• CVE-2022-30136（Microsoft网络文件系统）的CVSS基本值为9.8，是高评分漏洞，无需认证或用户操作即可利用。受影响产品及利用条件请参见CVE页面的“常见问题”。尽管漏洞详情未提前公开且无利用确认，但鉴于漏洞特性，企业组织应尽快进行风险评估和应用安全更新程序。
• 部署2022年6月安全更新程序的指南，请参考2022年6月安全更新程序部署支持技术信息。
• 安全更新程序的已知问题请查看各安全更新程序的支持技术信息。已知问题列表见2022年6月安全更新程序发布说明。

2022年6月发布安全更新程序的产品、组件列表

2022年6月14日（美国时间）发布安全更新程序的产品及组件列表，请查看2022年6月安全更新程序发布说明。

2022年6月安全更新程序列表

2022年6月14日（美国时间）发布的安全更新程序列表如下。最新信息请查看安全更新指南。

现有漏洞信息更新

2022年6月14日（美国时间），更新了6个现有漏洞。

• CVE-2021-26414 Windows DCOM服务器安全功能绕过漏洞
  微软宣布将于2022年6月15日发布Windows安全更新程序，作为该漏洞第二阶段强化更改的应对措施。安装这些更新程序后，DCOM服务器上的RPC_C_AUTHN_LEVEL_PKT_INTEGRITY将默认启用。如需禁用，可使用RequireIntegrityActivationAuthenticationLevel注册表键。微软强烈建议安装2022年6月15日的更新程序，完成环境测试，并尽快启用这些强化功能。

• CVE-2022-24513 Visual Studio权限提升漏洞
  微软发布了2022年6月安全更新程序，进一步解决以下受支持Visual Studio版本的CVE-2022-24513：

  • Visual Studio 2017 Version 15.9
  • Visual Studio 2019 Version 16.9
  • Visual Studio 2019 Version 16.11
  • Microsoft Visual Studio 2022 Version 17.0
  • Visual Studio 2019 for Mac Version 8.10
    此外，受此漏洞影响的Visual Studio 2022 for Mac版本17.0已添加到“安全更新程序”列表。强烈建议安装这些更新程序以完全防护。

• CVE-2022-24527 Windows Endpoint Configuration Manager权限提升漏洞
  修正内容：1) 将受此漏洞影响的Microsoft Endpoint Configuration Manager添加到“安全更新程序”列表；2) 由于该漏洞的修复程序无法通过Windows安全更新程序获取，从“安全更新程序”列表中移除所有Windows版本；3) 更新FAQ，提供获取Microsoft Endpoint Configuration Manager修复程序的方法；4) 修正CVE标题。

• CVE-2022-26832 .NET Framework拒绝服务漏洞
  追加“安全更新程序”列表：安装在Windows 10 Version 1607、Windows Server 2016和Windows Server 2016（Server Core安装）上的.NET Framework 4.6.2/4.7/4.7.1/4.7.2。运行这些版本.NET Framework的客户需安装2022年4月安全更新程序以防护。

• CVE-2022-23267 .NET和Visual Studio拒绝服务漏洞
  将Visual Studio 2019 for Mac和Visual Studio 2022 for Mac添加到“安全更新程序”列表，因为这些版本受影响。强烈建议运行这些版本Visual Studio的客户安装更新程序以完全防护。

• CVE-2022-30190 Microsoft Windows支持诊断工具（MSDT）远程代码执行漏洞
  该漏洞的更新程序包含在2022年6月累积Windows更新程序中。强烈建议安装更新程序以完全防护。配置为接收自动更新的客户无需额外操作。

新安全公告发布

ADV220002 微软关于Intel处理器MMIO陈旧数据漏洞的指南
2022年6月14日，Intel公开了称为处理器MMIO陈旧数据漏洞的内存映射I/O漏洞类信息：

• CVE-2022-21123 - 共享缓冲区数据读取（SBDR）
• CVE-2022-21125 - 共享缓冲区数据采样（SBDS）
• CVE-2022-21127 - 特殊寄存器缓冲区数据采样更新（SRBDS Update）
• CVE-2022-21166 - 设备寄存器部分写入（DRPW）

微软发布了有助于缓解这些漏洞的软件更新程序。要获得全部保护，需同时应用固件（微代码）和软件更新程序。微代码更新程序请咨询OEM。微软目前未确认漏洞利用。推荐操作和潜在性能影响详情见ADV220002 - 微软关于Intel处理器MMIO陈旧数据漏洞的指南。

补充信息

• 最新服务堆栈更新（SSU）请查看公告ADV990001。
• Microsoft Edge（基于Chromium）的安全信息发布计划与月例发布不同，请在安全更新指南中选择Microsoft Edge（基于Chromium）产品或查看Edge安全发布信息。
• 各漏洞信息（CVE）页面可能包含缓解措施、规避方法、注意事项和常见问题等附加信息。应用安全更新程序前请一并查看。
• 最新信息请查看安全更新指南。安全更新指南允许按CVE、KB编号、产品或发布日期排序和筛选安全漏洞及更新程序信息。要筛选每月安全更新程序，请在日期范围中指定该月第二个星期二进行搜索。此外，可利用安全更新指南API创建自定义报告。我们发布了6个介绍API使用方法的视频（API信息（GitHub）、API访问、HTML文件输出、导出到Excel、获取CVE列表、获取KB列表），请充分利用。
• 计划实现安全更新指南更新通知机制。详情见博客“即将推出：全新通知系统！”。
• 2022年6月15日（美国时间）起，Internet Explorer 11（IE11）桌面应用程序将结束在Windows 10半年度通道和Windows 10 IoT半年度通道的支持。详情见Internet Explorer 11桌面应用程序支持终止 – 相关公告FAQ更新。

下次安全更新程序发布计划于2022年7月12日（美国时间）。详情见年度计划。