以漏洞類型來區分,這次修復的資安漏洞與分類如下:
- 權限提升漏洞:19 個;
- 資安防護功能略過漏洞:2 個;
- 遠端執行任意程式碼漏洞:23 個;
- 資訊洩露漏洞:3 個;
- 服務阻斷(Denial of Service)漏洞:3 個;
- 假冒詐騙漏洞:1 個。
上述在這次 Patch Tuesday 中獲得修補的漏洞,並未包括 25 個於 12 月 5 日推出資安修補包的 Microsoft Edge 瀏覽器。
本月修復的 2 個 0-day 漏洞如下:
- CVE-2022-44698:Windows SmartScreen 資安防護功能略過漏洞;該漏洞證實已遭駭侵者利用假造簽署的特製 JavaScript 用於攻擊活動之中;
- CVE-2022-44710:Microsoft DirectX Kernel 執行權限提升漏洞;駭侵者可利用此漏洞,將己身的執行權限提升到系統等級。
鑑於 Microsoft 軟體產品眾多,建議所有用戶與系統管理者應立即套用這次的 Patch Tuesday 資安更新,以免遭駭侵者利用已知的未修補漏洞發動攻擊,造成不必要的損失。
