Microsoft va posar pegats 118 CVE en el seu llançament del Patch Tuesday d'agost del 2022, amb 17 qualificats com a crítics i 101 qualificats com a importants.
Dos dies zero arreglats, un explotat activament
La vulnerabilitat de dia zero explotada activament i reparada avui es coneix de broma com “DogWalk” i Microsoft l'etiqueta com “CVE-2022-34713 – Eina de diagnòstic de suport de Microsoft Windows (MSDT) Vulnerabilitat d'execució remota de codi”.
L'investigador de seguretat Imre Rad va descobrir aquesta vulnerabilitat el gener del 2020, però Microsoft va decidir no reparar-la després de considerar que no es tractava d'una vulnerabilitat de seguretat.
No obstant això, després del descobriment de la vulnerabilitat MSDT de Microsoft Office, els investigadors de seguretat van pressionar una vegada més perquè també se solucioni la vulnerabilitat DogWalk, cosa que es va fer com a part de les actualitzacions d'avui.
L'altra vulnerabilitat de dia zero es rastreja com “CVE-2022-30134 – Vulnerabilitat de divulgació d'informació de Microsoft Exchange” i permet que un atacant llegeixi missatges de correu electrònic específics.
Microsoft diu que la vulnerabilitat CVE-2022-30134 es divulga públicament, però no s'ha detectat en els atacs.
Tipologia de vulnerabilitats
Les vulnerabilitats d'elevació de privilegis (EoP) van representar el 54,2 % de les vulnerabilitats aplicades aquest mes, seguides de les vulnerabilitats d'execució remota de codi (RCE) amb un 26,3 %.