2022年7月12日(美国时间),微软发布了安全更新程序,以修复影响微软产品的漏洞。请客户尽快应用已发布的安全更新程序。最新信息请查看安全更新指南。
此外,本月的“恶意软件删除工具”新增了可通过该工具删除的恶意软件。详细信息请参阅相关恶意软件家族。
■ 安全更新程序、安全公告的主要注意事项
- CVE-2022-22047 Windows CSRSS 特权提升漏洞:已确认存在漏洞利用活动。该漏洞细节在安全更新发布时未公开。Windows用户请尽快应用更新程序。详情参见CVE-2022-22047。
- CVE-2022-23816 和 CVE-2022-23825:是AMD公司特定CPU中存在的漏洞。虽属AMD漏洞,但需安装Windows更新程序以实施缓解措施。受影响AMD CPU列表及漏洞详情请参阅AMD安全公告。使用受影响AMD CPU的用户请应用Windows更新。
- 本月修复了Azure Site Recovery中VMWare到Azure恢复场景的多个漏洞。使用该场景的客户请参考博客《缓解Azure Site Recovery的漏洞》和Azure Site Recovery新功能,并更新至最新版本。
- CVE-2022-30187:是Azure存储库的漏洞。使用Azure存储库的客户请参阅http://aka.ms/azstorageclientencryptionblog,并根据环境采取必要措施。
- 2022年7月19日追加:详情请参见博客《缓解Azure Storage SDK客户端加密中的填充Oracle漏洞》。
- 安全更新程序的已知问题请参阅各安全更新的支持技术信息。已知问题的支持技术信息列表载于2022年7月安全更新发布说明。
■ 2022年7月发布安全更新程序的产品、组件列表
2022年7月12日(美国时间)发布安全更新程序的产品及组件列表请参阅2022年7月安全更新发布说明。
| 产品系列 | 最高严重等级 | 最大影响 | 相关支持技术信息或支持网页 |
|---|---|---|---|
| Windows 11 | 紧急 | 远程代码执行 | 5015814 |
| Windows 10 v21H2, v21H1, 及 v20H2 | 紧急 | 远程代码执行 | 5015807 |
| Windows Server 2022(含Server Core安装) | 紧急 | 远程代码执行 | 5015827 |
| Windows Server 2019, 2016, v20H2(含Server Core安装) | 紧急 | 远程代码执行 | Windows Server 2019:5015811 Windows Server 2016:5015808 |
| Windows 8.1, Windows Server 2012 R2, Windows Server 2012(含Server Core安装) | 紧急 | 远程代码执行 | Windows 8.1, Windows Server 2012 R2月度汇总:5015874 安全仅更新:5015877 Windows Server 2012月度汇总:5015863 安全仅更新:5015875 |
| Microsoft Office | 重要 | 安全功能绕过 | 详情参见安全更新指南和Office更新文档 |
| Skype for Business Server and Microsoft Lync Server | 重要 | 远程代码执行 | 详情参见安全更新指南和5016714 |
| Microsoft Azure相关软件 | 重要 | 特权提升 | 详情参见安全更新指南和Azure文档 |
| Microsoft Defender for Endpoint for Linux | 重要 | 篡改 | 详情参见安全更新指南和Defender for Endpoint Linux文档 |
■ 2022年7月安全更新程序列表
2022年7月12日(美国时间)发布的安全更新程序列表如下。最新信息请查看安全更新指南。
■ 现有漏洞信息的更新
2022年7月12日(美国时间),更新了4项现有漏洞信息。
- CVE-2022-26934 Windows图形组件信息泄露漏洞:在“安全更新程序”列表中为CVE-2022-26934添加了受影响的Microsoft Office以下版本。强烈建议运行这些版本Office的用户安装此更新程序以完全防护该漏洞。配置为接收自动更新的系统无需特殊操作。
- Microsoft 365 Apps for 32-bit Systems
- Microsoft 365 Apps for 64-bit Systems
- Microsoft Office 2019 for Mac
- Microsoft Office LTSC for Mac 2021
- CVE-2022-26896 Azure Site Recovery信息泄露漏洞:全面解决此漏洞需安装版本6.49的Azure Site Recovery VMWare to Azure。
- CVE-2022-24513 Visual Studio特权提升漏洞:微软发布了2022年7月安全更新程序,进一步解决Visual Studio 2019 Version 16.9和Microsoft Visual Studio 2022 Version 17.0中的CVE-2022-24513。强烈建议安装这些更新以完全防护。
- CVE-2021-43245 Windows数字电视调谐器特权提升漏洞:微软发布了2022年7月安全更新程序,全面应对CVE-2021-43245,适用于所有受影响版本的Microsoft Windows。强烈建议安装此更新以完全防护。配置为接收自动更新的系统无需特殊操作。
■ 现有安全公告的更新
2022年7月12日(美国时间),更新了1项现有公告。
- ADV990001 最新服务堆栈更新:公告已更新,通知新版本服务堆栈更新可用。详情参见FAQ。
■ 补充信息
- 最新服务堆栈更新(SSU)请参见公告ADV990001。
- Microsoft Edge(基于Chromium)的安全信息发布计划与月度发布不同,请在安全更新指南中选择产品Microsoft Edge(基于Chromium)查看,或参阅Edge安全发布信息。
- 各漏洞信息(CVE)页面可能包含缓解措施、规避措施、注意事项及常见问题等附加信息。应用安全更新前请一并确认。
- 最新信息请查看安全更新指南。该指南可按CVE、KB编号、产品或发布日期排序和筛选安全漏洞及更新信息。要筛选每月安全更新,请在日期范围中指定当月第二个星期二进行搜索。此外,可利用安全更新指南API创建自定义报告。我们发布了6个介绍API使用方法的视频(API信息(GitHub)、访问API、输出HTML文件、导出到Excel、获取CVE列表、获取KB列表),请积极利用。
- 安全更新指南计划实现更新通知机制。详见博客《即将推出:全新的通知系统!》。
下次安全更新计划于2022年8月9日(美国时间)发布。详情参见年度计划。
更新历史
- 2022年7月19日:追加了关于Azure Storage SDK的博客。