微软三月补丁更新修复3个0day漏洞

微软本月的累积更新如期而至，共修复了包括三个0day在内的71个漏洞（另外还有21个Microsoft Edge漏洞）。漏洞主要影响到.NET和Visual Studio、Azure、Microsoft Defender、Exchange Server、Edge（基于Chromium）、Office、Windows RDP、SMB Server等组件。

各类型漏洞数量一览：

25个权限提升漏洞；

3个安全功能绕过漏洞；

29个远程代码执行漏洞；

6个信息泄露漏洞；

4个拒绝服务漏洞；

3个欺骗漏洞；

21个Edge – Chromium漏洞。

三个0day漏洞分别为远程桌面客户端远程代码执行漏洞（CVE-2022-21990）、Windows传真和扫描服务权限提升漏洞（CVE-2022-24459）、.NET和Visual Studio远程代码执行漏洞（CVE-2022-24512）。这些漏洞均没有被用于攻击，不过微软表示其中CVE-2022-21990和CVE-2022-24459存在公开的概念证明（POC）。

微软认为具有较高风险的还有另外两个漏洞：

Windows SMBv3 客户端/服务器远程代码执行漏洞（CVE-2022-24508）。成功利用此漏洞需要有效的凭据，攻击者可以利用其进行网络内的横向移动。

Microsoft Exchange Server 远程代码执行漏洞（CVE-2022-23277）。Exchange Server 中的该漏洞允许经过身份验证的攻击者以服务器帐户为目标，通过网络调用以提升的权限执行代码。该漏洞源于服务器未正确处理内存中的对象。

Windows用户可前往“开始-设置-更新和安全-Windows更新”进行更新补丁安装。

关于本次累积更新的更多详情请前往微软官网：

http://msrc.microsoft.com/update-guide/releaseNote/2022-Mar

资讯来源：Microsoft Security