2022年10月的Microsoft Paa没有修复Exchange Server漏洞

2022年10月的Microsoft Patch周二安全更新解决了包括Microsoft Windows和Windows Components在内的多个产品中的85个新漏洞；Azure、azure arc和azure Devops；Microsoft edge (基于Chromium )；办公室和办公室组件；VisualStudio代码；主动目录域服务和主动目录证书服务；Nu得到客户；Hyper – V；以及Windows弹性文件系统( Refs )。

85个缺陷中有15个被评为”严重”，69个被评为”重要”，1个被评为”严重”。

值得注意的是，安全补丁并没有解决Exchange Server问题，尽管两个MS Exchange缺陷在公共平台被积极利用。

这些bug是ZDI在9月初购买的，并在当时向Microsoft报告。

在没有可用的更新来完全解决这些bug的情况下，管理员所能做的最好是确保安装2021年9月的累积更新( CU )。这增加了交易所紧急救助服务。这将自动安装可用的缓解措施，并向Microsoft发送诊断数据。否则，跟随这篇文章从微软的最新信息。”报告ZDI “。他们的缓解建议已经改变了多次，所以你需要确保你经常检查它的更新。

微软还解决了微软边缘(基于铬)的11个问题，以及在Arm处理器中的侧渠道投机的一个缺陷。其中6个CVEs是通过ZDI计划提交的。

微软本月最关注的问题之一是Windows COM +事件系统服务中的权限提升问题，被跟踪为CVE – 2022 – 41033。

 “成功利用此漏洞的攻击者可以获得SYSTEM权限。”阅读Microsoft发布的公告。

微软Patch周二还处理了一个被追踪为CVE – 2022 – 38048的关键Office远程代码执行漏洞。

  IT巨头还提出了Windows客户端服务器运行时子系统( CSRSS )权限漏洞提升方案( CVE-2022-37987 / CVE-2022-37989 )和Azure Arc支持的Kubernetes集群连接权限漏洞提升方案( CVE-2022-37968 ( CVSS评分: 10.0分) )。