Avisos sobre serviços

Todos os avisos > Avisos sobre segurança > Divulgação de atualizações de segurança de dezembro de 2022 da Microsoft

Divulgação de atualizações de segurança de dezembro de 2022 da Microsoft

20 de Dezembro de 2022, GMT+08:00

I. Descrição

A Microsoft lançou as suas atualizações de segurança de dezembro de 2022. Um total de 48 vulnerabilidades de segurança foram divulgadas, entre as quais 7 são classificadas como vulnerabilidades importantes. Os atacantes podem explorar essas vulnerabilidades para realizar a execução remota de código, escalar privilégios e vazar informações confidenciais. As aplicações afetadas incluem componentes como Microsoft Windows, Microsoft Office, .NET Framework e Microsoft Dynamics.

Para mais detalhes, acesse o site oficial da Microsoft:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec

As vulnerabilidades abaixo foram exploradas por atacantes:

Vulnerabilidade de Bypass de recurso de segurança do Windows SmartScreen (CVE-2022-44698): Vulnerabilidade de dia zero. Um atacante remoto pode ignorar as defesas Mark of the Web (MOTW) e potencialmente comprometer o sistema afetado. Os detalhes da vulnerabilidade foram divulgados, explorados e ela ainda não foi contida. O risco é alto.

Vulnerabilidade de elevação de privilégios do kernel de gráficos do DirectX (CVE-2022-44710): Vulnerabilidade de dia zero. Um atacante que explorar com êxito esta vulnerabilidade pode elevar as suas permissões para permissões de raiz no sistema da vítima. Atualmente, os detalhes dessa vulnerabilidade foram divulgados, e o seu risco é considerado alto.

7 vulnerabilidades (como CVE-2022-41076 e CVE-2022-44671) são oficialmente marcadas como Exploração Mais Provável. Para mais detalhes, consulte o anúncio oficial. Verifique sua condição atual e aprimore sua segurança prontamente para reduzir riscos de ataques.

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Microsoft Windows, Microsoft Office, .NET Framework e Microsoft Dynamics

IV. Detalhes das vulnerabilidades

Núm. da CVE

vulnerabilidade

Gravidade

Produto afetado

CVE-2022-41089

Vulnerabilidade de execução remota de código no .NET Framework

Importante

.NET 6.0/7.0, .NET Core 3.1, Microsoft .NET Framework 2.0/3.0/3.5/ 3.5.1/4.6/4.6.2/ 4.7.2/ 4.8/4.8.1/4.7/4.7.1, e Microsoft Visual Studio 2019/2022

CVE-2022-41076

Vulnerabilidade de execução remota de código do PowerShell

Importante

PowerShell 7.2/7.3, Windows 10, Windows 8.1/RT 8.1, Windows 11, Windows 7, Windows Server 2008R/2012/2012R/2016/2019/2022

CVE-2022-41127

Vulnerabilidade de execução remota de código do Microsoft Dynamics NAV e do Microsoft Dynamics 365 Business Central (local)

Importante

Microsoft Dynamics 365 Business Central 2020/2021/2022, Microsoft Dynamics NAV 2016/2017/2018, Dynamics 365 Business Central 2019 Release Wave 2 (local), atualização do Dynamics 365 Business Central Spring 2019

CVE-2022-44693

CVE-2022-44690

Vulnerabilidade de execução remota de código do Microsoft SharePoint Server

Importante

Microsoft SharePoint Enterprise Server 2013/2016, Microsoft SharePoint Server 2019, Microsoft SharePoint Server edição de assinatura, Microsoft SharePoint Foundation 2013

CVE-2022-44676

CVE-2022-44670

Vulnerabilidade de execução remota de código no protocolo SSTP (Secure Socket Tunneling Protocol) do Windows

Importante

Windows 10, Windows 8.1/RT 8.1, Windows 11, Windows 7, Windows Server 2008R/2012/2012R/2016/2019/2022

(Observação: as vulnerabilidades listadas acima são importantes. Para mais informações, acesse o site oficial da Microsoft.)

V. Recomendações de segurança

1. Use o Windows Update ou baixe os patches do endereço a seguir para corrigir as vulnerabilidades:

https://msrc.microsoft.com/update-guide

2. Faça o backup remoto dos seus dados para protegê-los.

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.