2022 年 1 月安全更新程序 (月度) | MSRC 博客
Microsoft 安全响应中心
注意:此博客文章已发布超过一年。以下信息可能已过时。
2022 年 1 月 11 日(美国时间),微软发布了安全更新程序,以修复影响微软产品的漏洞。客户应尽快应用已发布的安全更新程序。最新信息请查看安全更新程序指南。
本月“恶意软件删除工具”未添加新的家族对应。
■ 安全更新程序、安全公告的主要注意事项
本月安全更新程序修复的漏洞中,确认以下漏洞在安全更新程序发布前已公开:CVE-2022-21919 (Windows)、CVE-2022-21874(Windows)、CVE-2022-21839(Windows)、CVE-2022-21836(Windows)、CVE-2021-36976(Libarchive)、CVE-2021-22947(Curl)。在安全更新程序发布时,未确认这些漏洞被利用。
CVE-2021-36976(Libarchive) 和 CVE-2021-22947(Curl) 是开源软件漏洞。由于 Microsoft Windows 使用了这些开源软件,微软安全更新程序网站也提供了相关信息。这些漏洞的修复包含在 Windows 安全更新程序中。
本月安全更新程序修复的漏洞中,CVE-2022-21907 (HTTP 协议栈远程代码执行漏洞) 和 CVE-2022-21849 (Windows IKE Extension 代码执行漏洞) 的 CVSS Base 分数为 9.8,属于高分漏洞,无需认证或用户操作即可被利用。关于存在这些漏洞的产品及可利用条件,请参考各 CVE 页面的“常见问题”。在安全更新程序发布前,漏洞信息未公开且未被利用,但鉴于漏洞特性,建议企业组织尽快进行风险评估并应用安全更新程序。
部署 2022 年 1 月安全更新程序的指南,请参考 2022 年 1 月安全更新程序部署支持技术信息。
部署 Microsoft Exchange 更新程序的指南,请参考 Microsoft Exchange 团队博客 Released: January 2022 Exchange Server Security Updates - Microsoft Tech Community。
安全更新程序的已知问题,请参考各安全更新程序的支持技术信息。已知问题的支持技术信息列表,请查看 2022 年 1 月安全更新程序发行说明。
■ 2022 年 1 月安全更新程序列表
2022 年 1 月 11 日(美国时间)发布的安全更新程序列表如下。最新信息请查看安全更新程序指南。
| 产品系列 | 最高严重性 | 最大影响 | 相关支持技术信息或支持网页 |
|---|---|---|---|
| Windows 11 | 紧急 | 远程代码执行 | 5009566 |
| Windows 10 v21H2, v21H1, v20H2, v1909 | 紧急 | 远程代码执行 | Windows 10 v21H2, v21H1, v20H2: 5009543 Windows 10 v1909: 5009545 |
| Windows Server 2022 | 紧急 | 远程代码执行 | Windows Server 2022: 5009555 |
| Windows Server 2019, Windows Server 2016, and Server Core installations (2019, 2016, v20H2) | 紧急 | 远程代码执行 | Windows Server 2019: 5009557 Windows Server 2016: 5009546 |
| Windows 8.1, Windows Server 2012 R2, Windows Server 2012 | 紧急 | 远程代码执行 | Windows 8.1, Windows Server 2012 R2 Monthly Rollup: 5009624 Windows 8.1, Windows Server 2012 R2 Security Only: 5009595 Windows Server 2012 Monthly Rollup: 5009586 Windows Server 2012 Security Only: 5009619 |
| Microsoft Office | 紧急 | 远程代码执行 | 详情请参考安全更新程序指南 |
| Microsoft SharePoint | 紧急 | 远程代码执行 | 详情请参考安全更新程序指南 |
| Microsoft Exchange Server | 紧急 | 远程代码执行 | 5008631 |
| Microsoft .NET | 重要 | 服务拒绝 | 详情请参考安全更新程序指南 |
| Microsoft Dynamics 365 | 重要 | 冒充 | 详情请参考安全更新程序指南 |
| Remote Desktop Client for Windows Desktop | 重要 | 远程代码执行 | 详情请参考安全更新程序指南 |
■ 2022 年 1 月发布安全更新程序的产品、组件列表
2022 年 1 月 11 日(美国时间)发布安全更新程序的产品及组件列表,请查看 2022 年 1 月安全更新程序发行说明。
■ 现有漏洞信息更新
2022 年 1 月 11 日(美国时间)未更新现有安全漏洞。
■ 现有安全公告更新
2022 年 1 月 11 日(美国时间)更新了以下安全公告:
ADV170021 Microsoft Office 的多层防御功能更新程序
应用 2022 年 1 月 11 日(美国时间)发布的安全更新程序后,所有支持的 Microsoft Excel 中 Dynamic Data Exchange (DDE) 默认禁用。详情请参考 Microsoft Excel security enhancements in the January 2022 update。
■ 补充信息
最新服务堆栈更新程序 (SSU) 请在公告 ADV990001 中查看。
Microsoft Edge (基于 Chromium) 的安全信息发布计划与月度发布不同,请在安全更新程序指南中选择产品 Microsoft Edge (基于 Chromium) 查看,或查看 Edge 的安全发布信息。
各漏洞信息 (CVE) 页面可能包含缓解措施、规避措施、注意事项和常见问题等附加信息。应用安全更新程序前,请一并确认。
最新信息请查看安全更新程序指南。安全更新程序指南可按 CVE、KB 编号、产品或发布日期排序和筛选安全漏洞及更新程序信息。筛选每月安全更新程序时,请指定该月第二个星期二的日期范围进行搜索。此外,可利用安全更新程序指南 API 创建自定义报告。我们发布了六个介绍 API 使用方法的视频(API 信息 (GitHub)、访问 API、输出 HTML 文件、导出到 Excel、获取 CVE 列表、获取 KB 列表),请务必利用。
安全更新程序指南的通知服务即将更新。详情请查看博客 “Coming Soon: A Brand-New Notification System!”。
下一次安全更新程序发布计划于 2022 年 2 月 9 日(日本时间)。详情请查看年度计划。