Тази седмица Microsoft издаде първия за 2022 година пакет с обновления за операционната система Windows и свързаните с нея продукти. Януарският Patch Tuesday е наистина сериозен по обем, като съдържа решения за 97 проблема, като девет от тях са определени за критични. Макар и немалко от тези уязвимости да са вече документирани, то не е засечен опита за атака към някоя от тях.
Една от най-сериозните уязвимости според Microsoft се явява CVE-2022-21907, проблем в HHTP Protocol Stack (http.sys), който позволява нерегистрирал се посетител на сървъра да изпраща към сървъра специално изготвени пакети. От компанията предупреждават, че уязвимостта притежава възможността за автоматично разпространение в мрежата.
Друга важна уязвимост за адресиране от страна на администраторите е CVE-2022-21846 – поредния проблем в Exchange. Успешното експлоатиране на уязвимостта може да доведе до отдалечено изпълнение на произволен код. Уязвимостта е докладвана на Microsoft от специалисти от Националната агенция за сигурност на САЩ (АНС).
Специално внимание заслужават още и сериозни проблеми, открити в Windows Kerberos (повишаване на привилегиите), Windows Common Log File System Driver и Windows Certificate (CVE-2022-21836). Сред другите услуги и програми в Windows и екосистемата на майкрософтските продукти, които получават кръпки за открити проблеми са браузъра Edge и енджина му Chromium, ядрото на Windows, Event Tracing, Windows User Profile Service, Direct X и RDP, Windows Storage, Defender, Win32k и др.
