微软10月更新修复了攻击者使用的零日漏洞、84 个漏洞

　　今天是微软的 2022 年 10 月补丁星期二，它修复了一个积极利用的 Windows 漏洞和总共 84 个漏洞。在今天的更新中修复的 84 个漏洞中，有 13 个被归类为“严重”，因为它们允许特权提升、欺骗或远程代码执行，这是最严重的漏洞类型之一。

 Win10稳定专业版|Win10 64位专业版稳定流畅永久激活镜像下载 V2022.10 [Win10系统]

Win10 64位专业版稳定流畅永久激活镜像下载 V2022 10是一款非常优秀的电脑操作系统，系统经过大量的装机测试，确保可以在不同电脑上都无忧进行安装使用，通用性极强，运行稳定性也极强，欢迎有需要的小伙伴快来下载吧。

　　下面列出了每个漏洞类别中的错误数量：

　　39 提权漏洞

　　2 安全功能绕过漏洞

　　20个远程代码执行漏洞

　　11 信息披露漏洞

　　8 拒绝服务漏洞

　　4 欺骗漏洞

　　上述计数不包括 10 月 3 日在 Microsoft Edge 中修复的 12 个漏洞。

　　有关非安全 Windows 更新的信息，您可以阅读今天的Windows 10 KB5018410 和 KB5018419 更新以及Windows 11 KB5018427 更新。

　　两个零日修复，一个积极利用

　　本月的补丁星期二修复了两个公开的零日漏洞，一个在攻击中被积极利用，一个公开披露。

　　如果漏洞被公开披露或被积极利用而没有可用的官方修复程序，Microsoft 会将其归类为零日漏洞。

　　今天修复的积极利用的零日漏洞被跟踪为“ CVE-2022-41033 - Windows COM+ 事件系统服务特权提升漏洞”。

　　“成功利用此漏洞的攻击者可以获得系统权限，”微软的公告中写道。

　　被利用的漏洞被列为由“匿名”研究人员发现。

　　公开披露的漏洞被跟踪为“ CVE-2022-41043 - Microsoft Office 信息泄露漏洞”，由 SpecterOps 的 Cody Thomas发现 。

　　微软表示，攻击者可以利用此漏洞获取用户身份验证令牌的访问权限。

　　Microsoft Exchange 零日漏洞未修复

　　不幸的是，微软还没有针对两个被积极利用的零日漏洞发布安全更新，分别是 CVE-2022-41040 和 CVE-2022-41082，也被称为 ProxyNotShell。

　　越南网络安全机构 GTSC 于 9 月下旬披露了这些漏洞，他们首先发现并报告了这些攻击。

　　这些漏洞是通过趋势科技的零日计划向微软披露的，预计今天将得到修复。

　　但是，今天的 Microsoft Exchange 安全公告指出修复程序尚未准备好。

　　“2022 年 10 月的 SU 不 包含针对 2022 年 9 月 29 日公开报告的零日漏洞（CVE-2022-41040 和 CVE-2022-41082）的修复程序，”Microsoft Exchange公告中写道。

　　“请 参阅此博客文章 以对这些漏洞应用缓解措施。我们将在 CVE-2022-41040 和 CVE-2022-41082 准备就绪时发布更新。”

　　其他公司的最新更新

　　其他在 2022 年 10 月发布更新的供应商包括：

　　Apple发布了 iOS 16.0.3，修复了邮件拒绝服务漏洞。

　　思科 本月发布了众多产品的安全更新。

　　Fortinet 针对积极利用的 身份验证绕过漏洞发布了安全更新。

　　谷歌 发布了 Android 10 月份的安全更新。

　　SAP已发布其 2022 年 10 月补丁日更新。

　　VMware发布 了针对 VMware ESXi 和 vCenter Server 漏洞的安全更新。

　　2022 年 10 月补丁星期二安全更新

　　以下是 2022 年 10 月补丁星期二更新中已解决漏洞和已发布公告的完整列表。要访问每个漏洞及其影响的系统的完整描述，您可以在此处查看完整报告。