关于微软6月多个安全漏洞的公告

一、漏洞概述

2022年6月14日，微软发布了6月份的安全更新，本次发布的安全更新修复了包括1个0 day漏洞在内的55个安全漏洞（不包括Microsoft Edge Chromium漏洞等），其中有3个漏洞被评级为“严重”。

二、漏洞详情

本次发布的安全更新涉及.NET and Visual Studio、Azure、Intel、Microsoft Office、SQL Server、Windows Defender、Windows EFS、Windows Installer、Windows Kerberos、Windows Kernel、Windows LDAP、Windows Network File System、Windows PowerShell和Windows SMB等多个产品和组件。

本次修复的55个漏洞中，12个为权限提升漏洞，27个为远程代码执行漏洞，11个为信息泄露漏洞，3个为拒绝服务漏洞，1个为安全功能绕过漏洞，以及1个欺骗漏洞。

微软本次共修复了1个0 day漏洞，即之前披露的Windows Microsoft 诊断工具 (MSDT)代码执行漏洞（CVE-2022-30190，也称为Follina），该漏洞已经公开披露，且已被广泛利用。微软已将此漏洞的补丁包含在6月的累积更新或独立安全更新中，并建议用户尽快安装6月更新。

此外，微软还发布了Intel处理器 MMIO Stale Data漏洞指南，并发布软件更新以缓解Intel处理器中的4个中危漏洞，成功利用这些漏洞将能够跨信任边界读取特权数据：

l CVE-2022-21123 ：共享缓冲区数据读取 (SBDR) 

l CVE-2022-21125 ：共享缓冲区数据采样 (SBDS)

l CVE-2022-21127 ：特殊寄存器缓冲区数据采样更新（SRBDS 更新）

l CVE-2022-21166 ：设备寄存器部分写入 (DRPW)

本次修复的3个严重漏洞包括：

CVE-2022-30163：Windows Hyper-V 远程执行代码漏洞

可以通过在Hyper-V guest上运行特制的应用程序，从而导致Hyper-V主机操作系统执行任意代码，但要利用此漏洞需要赢得竞争条件。该漏洞的CVSSv3评分为8.5。

CVE-2022-30139：Windows LDAP 远程代码执行漏洞

该漏洞是Windows 轻量级目录访问协议（Windows Lightweight Directory Access Protocol）中的RCE漏洞，只有将 MaxReceiveBuffer LDAP 策略设置为高于默认值的值时，才能利用此漏洞，使用策略默认值的系统不易受到攻击。

CVE-2022-30136：Windows Network File System远程代码执行漏洞

该漏洞可通过对网络文件系统 (NFS) 服务进行未经身份验证的特制调用以触发远程代码执行，其CVSS评分为9.8。建议参考微软官方公告应用安全更新或缓解措施及时防护此漏洞。

三、处置建议

目前微软已发布相关安全更新，建议受影响的用户尽快修复。

（一） Windows update更新

自动更新：

Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（二） 手动安装更新

Microsoft官方下载相应补丁进行更新。

6月安全更新下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun

四、参考链接

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun

https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2022-patch-tuesday-fixes-1-zero-day-55-flaws/

https://blog.qualys.com/vulnerabilities-threat-research/2022/06/14/june-2022-patch-tuesday