2022 年5月第二個星期二，也是一年中的第5個星期二補丁日，軟件廠商 Adobe 和 Microsoft 在此日定期發布最新安全更新。

針對 Adobe CloudFusion、InCopy、Framemaker、InDesign 和 Adobe Character Animator 中的 18 個 CVE，其中九個是嚴重級別的錯誤，可能導致代碼執行，主要是由于越界 (OOB) 寫入漏洞。InDesign的補丁解決了三個可能導致代碼執行的嚴重錯誤。其中兩個是由于 OOB 寫入，而一個是 OOB 讀取。InCopy的補丁還修復了三個嚴重級別的代碼執行錯誤。在這種情況下，它是兩個 OOB 寫入加上一個釋放后使用 (UAF)。補丁為Character Animator修復了一個關鍵級別的 OOB 寫入代碼執行錯誤。最后，ColdFusion補丁更正了一個重要級別的反射跨站點腳本 (XSS) 錯誤。

2022 年 5 月的 Microsoft 補丁

5 月份，微軟發布了 74 個新補丁，解決了 Microsoft Windows 和 Windows 組件、.NET 和 Visual Studio、Microsoft Edge(基于 Chromium)、Microsoft Exchange Server、Office 和 Office 組件、Windows Hyper-V、Windows 身份驗證方法、BitLocker 中的 CVE 、Windows 群集共享卷 (CSV)、遠程桌面客戶端、Windows 網絡文件系統、NTFS 和 Windows 點對點隧道協議。74 個 CVE 漏洞中，7 個被評為嚴重，66 個被評為重要，1 個被評為低嚴重性，與過去 5 月的發行量相比，比 2021 年 5 月多 19 個，比 2019 年 5 月少 5 個，整個 2020 年每個月都有點反常，因此不具備可比性。

其中包括 24 個遠程代碼執行 (RCE)、21 個特權提升、17 個信息泄露和 6 個拒絕服務漏洞等。這些更新是對 2022 年 4 月 28 日在基于 Chromium 的 Microsoft Edge 瀏覽器中修補的36 個漏洞的補充。已解決的漏洞中最主要的是CVE-2022-26925(CVSS 評分：8.1)，這是一個影響 Windows 本地安全機構 ( LSA ) 的欺騙漏洞，微軟將其描述為“對用戶進行身份驗證并將用戶登錄到本地系統的受保護子系統。如果該漏洞與針對 Active Directory 證書服務 (AD CS)(例如PetitPotam )的NTLM 中繼攻擊鏈接在一起，該漏洞的嚴重等級將提升至 9.8 。

這個漏洞在野外被積極利用，它允許攻擊者在 NTLM 中繼攻擊中驗證為已批準用戶的身份 - 讓威脅參與者能夠訪問身份驗證協議的哈希值。

另外兩個眾所周知的漏洞如下：

• CVE-2022-29972(CVSS 分數：8.2)- Insight Software：CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC 驅動程序(又名SynLapse)
• CVE-2022-22713(CVSS 分數：5.6)- Windows Hyper-V 拒絕服務漏洞

微軟于 4 月 15 日修復了 CVE-2022-29972，在可利用性指數上將其標記為“更有可能被利用”，因此受影響的用戶必須盡快應用更新。Redmond 還修補了 Windows 網絡文件系統 ( CVE-2022-26937 )、Windows LDAP ( CVE-2022-22012、CVE-2022-29130 )、Windows 圖形 ( CVE-2022-26927 )、Windows 內核 ( CVE-2022-29133 )、遠程過程調用運行時 ( CVE-2022-22019 ) 和 Visual Studio Code ( CVE-2022-30129 )。

此次，我國的網絡安全實驗室昆侖實驗室報告了 74 個漏洞中的 30 個，包括 CVE-2022-26937、CVE-2022-22012 和 CVE-2022-29130。