Компания Microsoft выпустила ежемесячный пакет исправлений и патчей в рамках программы Patch Tuesday. Разработчики устранили более 100 уязвимостей в разных продуктах компании, включая Windows, Office, Skype for Business, Visual Studio и др.
10 из этих уязвимостей получили максимальный рейтинг опасности и рассматриваются как критические, включая две уязвимости нулевого дня. Первая из них CVE-2022-26904 может использоваться для повышения привилегий и затрагивает службу Windows User Profile Service. Уязвимость получила 7 баллов из 10 возможных по шкале CVSS, так как ее эксплуатация считается сложной. Вторая уязвимость нулевого дня CVE-2022-24521 также связана с повышением привилегий и затрагивает драйвер подсистемы журналирования Windows Common Log File System. Она получила оценку 7,8 балла из 10, так как ее не сложно эксплуатировать и у Microsoft есть доказательства того, что она использовалась злоумышленниками на практике.
Кроме того, считаются опасными уязвимости CVE-2022-26809 и CVE-2022-24491, которые могут использоваться для удаленного выполнения кода.
Полный список уязвимостей доступен по ссылке.