2022 年 1 月 Microsoft 安全性更新發行
此通知提供已於 2022 年 1 月 11 日 (太平洋時間) 發行的安全性更新概觀。Microsoft 每月的第二個星期二都會發行安全性更新,解決 Microsoft 產品中新回報的安全性弱點。
注意:為了提供最新且一致的安全性更新資訊,星期二更新日通知中提供的「安全性更新概觀」表格,不再包括知識庫文章與相關連結。最佳做法就是建議客戶直接前往安全性更新導覽,網址為: https://msrc.microsoft.com/update-guide ,並在 [部署] 索引標籤上進行篩選,以存取相關知識庫文章和最新的安全性更新與下載資訊。下面的「服務注意」一欄包含各產品系列的發行版本、更新及部署資訊。
安全性更新概觀
Microsoft 已於 2022 年 1 月 11 日發行影響下列 Microsoft 產品的安全性更新:
產品系列
最高嚴重性等級
最嚴重影響情況
服務 注意
Windows 11
重大
遠端執行程式碼
Windows 11 的更新為累積方式,並包含安全性和非安全性更新。如需部署與更新資訊,請參閱 https://docs.microsoft.com/zh-tw/windows/deployment。
Windows 10 v21H2、v21H1、v20H2、v1909
重大
遠端執行程式碼
Windows 10 的更新為累積方式,並包含安全性和非安全性更新。如需部署與更新資訊,請參閱 https://docs.microsoft.com/zh-tw/windows/deployment。
Windows Server 2022
重大
遠端執行程式碼
最新 Windows Server 產品的更新為累積方式,並包含安全性修正程式和非安全性更新。如需詳細資訊,請參閱 https://docs.microsoft.com/zh-tw/windows-server。
Windows Server 2019、Windows Server 2016 及 Server Core 安裝 (2019、2016、v20H2)
重大
遠端執行程式碼
最新 Windows Server 產品的更新為累積方式,並包含安全性修正程式和非安全性更新。如需詳細資訊,請參閱 https://docs.microsoft.com/zh-tw/windows-server。
Windows 8.1、Windows Server 2012 R2、Windows Server 2012
重大
遠端執行程式碼
這些舊版 Windows 的更新會透過每月彙總套件提供。我們會為每個版本的 Windows 提供兩個彙總套件:每月安全性品質更新 (即每月彙總套件) 會包含安全性和可靠性修正程式。僅限安全性品質更新 (即僅限安全性更新) 只會包含當月的安全性修正程式。如需詳細資訊,請參閱 Windows 7 和 Windows 8.1 的簡化服務:最新改進 (英文)。
Microsoft Office
重大
遠端執行程式碼
如需有關 Office 更新的詳細資訊, 請造訪 https://docs.microsoft.com/zh-tw/officeupdates。
Microsoft SharePoint
重大
遠端執行程式碼
如需有關 SharePoint 更新的詳細資訊,請造訪 https://docs.microsoft.com/zh-tw/officeupdates/sharepoint-updates。
Microsoft Exchange Server
重大
遠端執行程式碼
如需有關 Exchange Server 更新的詳細資訊,請造訪 https://docs.microsoft.com/zh-tw/exchange。
Microsoft .NET
重要
阻斷服務
有關 .NET 更新的更多信息,請訪問 https://docs.microsoft.com/zh-tw/dotnet。
Microsoft Dynamics 365
重要
詐騙
如需有關 Dynamics 365 更新的詳細資訊,請造訪 https://docs.microsoft.com/zh-tw/dynamics365。
Windows 桌面版遠端桌面用戶端
重要
遠端執行程式碼
如需有關 Windows 桌面版遠端桌面用戶端更新的詳細資訊,請造訪 https://msrc.microsoft.com/update-guide。
注意:
安全性弱點概觀
下列摘要說明此版本所解決的弱點數目,依產品/元件及所受影響來區分。
弱點詳細資料
RCE
EOP
ID
SFB
DOS
SPF
TMP
公開揭露
已知利用
最高 CVSS
Windows 11
18
28
4
8
7
1
0
5
0
9.8
Windows 10 21H2
21
37
5
8
7
1
0
5
0
9.8
Windows 10 v21H1
21
37
5
8
7
1
0
5
0
9.8
Windows 10 20H2 與 Windows Server v20H2
21
39
5
8
7
1
0
5
0
9.8
Windows 10 1909
20
37
5
7
7
1
0
5
0
9.8
Windows Server 2022
20
40
5
8
7
1
0
5
0
9.8
Windows Server 2019
21
40
5
7
8
1
0
6
0
9.8
Windows Server 2016
15
32
4
6
5
1
0
3
0
9.8
Windows 8.1 與 Server 2012 R2
12
24
3
7
5
1
0
2
0
9.0
Windows Server 2012
12
20
4
7
5
1
0
2
0
8.8
Microsoft Office
3
0
0
0
0
0
0
0
0
8.8
Microsoft SharePoint
3
0
0
0
0
0
0
0
0
8.8
Microsoft Exchange Server
3
0
0
0
0
0
0
0
0
9.0
Microsoft .NET
0
0
0
0
1
0
0
0
0
7.5
Microsoft Dynamics 365
0
0
0
0
0
1
0
0
0
7.6
Windows 桌面版遠端桌面用戶端
2
0
0
0
0
0
0
0
0
8.8
RCE = 遠端執行程式碼 | EOP = 權限提高 | ID = 資訊洩漏 | SFB = 安全性功能略過 | DOS = 阻斷服務 | SPF = 詐騙 | TMP = 竄改
注意:
• 重疊元件的弱點可能不止一次列於表格中。
• 上述摘要為常用軟體的更新概觀。當中可能未列出較舊版本、應用程式及開放原始碼軟體的更新。
• 此內容完成後,可能會對版本新增或移除更新。
• 請在安全性更新導覽中,尋找每月發行之所有更新的詳細資料: https://msrc.microsoft.com/update-guide
• 如需其他詳細資料,請參閱版本資訊,網址為: https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan
用於將更新部署到遠端裝置的資源
既然有這麼多人在遠端工作,那麼現在正是檢閱有關將安全性更新部署到桌面、膝上型電腦和平板電腦等遠端裝置的指南的好時機。以下是一些資源,可以回答關於將更新部署到遠端裝置的問題。
第 1 部分: 幫助企業快速設定以透過個人電腦和行動裝置安全地工作
第 2 部分: 幫助 IT 人員在家中傳送以及佈建工作電腦,以在 COVID-19 期間安全地工作
第 3 部分: 使用 Configuration Manager 在 Covid-19 期間在家管理工作裝置
第 4 部分: 使用雲端管理閘道 (CMG) 管理遠端電腦
第 5 部分: 在遠端工作環境中使用 Configuration Manager 管理「星期二修補程式日」
另請參閱:
• 控制 VPN 連線用戶端的 Configuration Manager 頻寬限制
本月份的弱點詳細資料
下列是此版本中所述部分安全性弱點的摘要。這些特定弱點是基於下列一個或多個原因而從版本的大型弱點集合中選來:1) 我們收到有關弱點的查詢,2) 弱點可能已在商業刊物中受到注意,或者 3) 版本中的弱點可能比其他弱點更具影響力。由於我們並未針對版本中的每個弱點提供摘要,因此,請檢閱 安全性更新導覽 中的內容,以取得這些摘要中未提供的資訊。
CVE-2022-21907
HTTP 通訊協定堆疊遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重大
是否已公開揭露?
否
是否為已知利用?
否
弱點
較可能遭到利用
CVSS 分數量度
基本 CVSS 分數:9.8
權限要求:無
機密性:高
攻擊媒介:網路
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows Server 2022、Windows Server v20H2、Windows Server 2019
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907
CVE-2022-21849
Windows IKE 擴充功能遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:9.8
權限要求:無
機密性:高
攻擊媒介:網路
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v1909、Windows Server 2022、Windows Server v20H2、Windows Server 2019、Windows Server 2016
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21849
CVE-2022-21901
Windows Hyper-V 權限提高弱點
影響
權限提高
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:9.0
權限要求:低
機密性:高
攻擊媒介:相鄰
使用者互動:無
整合:高
攻擊複雜性:低
範圍:已變更
可用性:高
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v1909、Windows Server 2022、Windows Server v20H2、Windows Server 2019、Windows Server 2016、Windows 8.1、Windows Server 2012 R2
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21901
CVE-2022-21922
遠端程序呼叫執行階段遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.8
權限要求:低
機密性:高
攻擊媒介:網路
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
所有支援的 Windows 版本
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21922
CVE-2022-21893
遠端桌面通訊協定遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.8
權限要求:無
機密性:高
攻擊媒介:網路
使用者互動:必須
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v1909、Windows Server 2022、Windows Server v20H2、Windows Server 2019、Windows Server 2016、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2012
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21893
CVE-2022-21850
遠端桌面用戶端遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.8
權限要求:無
機密性:高
攻擊媒介:網路
使用者互動:必須
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
所有支援的 Windows 版本、Windows 桌面版遠端桌面用戶端
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21850
CVE-2022-21920
Windows Kerberos 權限提高弱點
影響
權限提高
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.8
權限要求:低
機密性:高
攻擊媒介:網路
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
所有支援的 Windows 版本
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21920
CVE-2022-21857
Active Directory 網域服務權限提高弱點
影響
權限提高
嚴重性
重大
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.8
權限要求:低
機密性:高
攻擊媒介:網路
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
所有支援的 Windows 版本
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21857
CVE-2022-21846
Microsoft Exchange Server 遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重大
是否已公開揭露?
否
是否為已知利用?
否
弱點
較可能遭到利用
CVSS 分數量度
基本 CVSS 分數:9.0
權限要求:低
機密性:高
攻擊媒介:相鄰
使用者互動:無
整合:高
攻擊複雜性:低
範圍:已變更
可用性:高
受影響的軟體:
Microsoft Exchange Server 2019、Microsoft Exchange Server 2016、Microsoft Exchange Server 2013
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846
CVE-2022-21840
Microsoft Office 遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重大
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.8
權限要求:無
機密性:高
攻擊媒介:網路
使用者互動:必須
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
Microsoft Office LTSC 2021、Mac 版 Microsoft Office LTSC 2021、Microsoft Office 2019、Mac 版 Microsoft Office 2019、Microsoft Office 2016、Microsoft Office 2016、Microsoft Office 2013、Microsoft Office Web Apps Server 2013、Microsoft Excel 2013、Microsoft Office 2013 RT、Microsoft Office Online Server、Microsoft 365 Apps 企業版、Microsoft SharePoint Server 2019、Microsoft SharePoint Enterprise Server 2016、SharePoint Server 訂閱版本語言套件、Microsoft SharePoint 訂閱版本、Microsoft SharePoint Enterprise Server 2013、Microsoft SharePoint Foundation 2013
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21840
CVE-2022-21837
Microsoft SharePoint Server 遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
否
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:8.3
權限要求:低
機密性:高
攻擊媒介:網路
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:低
受影響的軟體:
Microsoft SharePoint Foundation 2013、SharePoint Server 訂閱版本、SharePoint Server 2019、SharePoint Enterprise Server 2016
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21837
CVE-2021-36976
Libarchive 遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
是
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
CVE-2021-36976 是關於 Windows 所使用 Libarchive 開放原始碼程式庫中的弱點。2022 年 1 月 Windows 安全性更新包含此程式庫的最新版本,其可以解決此弱點與其他問題。請參閱 Libarchive CVE 以了解有關所有已解決弱點的詳細資訊。
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v1909、Windows Server 2022、Windows Server v20H2、Windows Server 2019
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36976
CVE-2021-22947
開放原始碼 Curl 遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重大
是否已公開揭露?
是
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
此 CVE 是關於 Windows 所使用 Curl 開放原始碼程式庫中的弱點。2022 年 1 月 Windows 安全性更新包含此程式庫的最新版本,其可以解決此弱點與其他問題。請參閱 Curl 安全性問題 以了解有關所有已解決弱點的資訊。
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v1909、Windows Server 2022、Windows Server v20H2、Windows Server 2019
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-22947
CVE-2022-21874
Windows 安全性中心 API 遠端執行程式碼弱點
影響
遠端執行程式碼
嚴重性
重要
是否已公開揭露?
是
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:7.8
權限要求:低
機密性:高
攻擊媒介:本機
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
Windows 11、Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2、Windows 10 v1909、Windows Server 2022、Windows Server v20H2、Windows Server 2019、Windows Server 2016
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21874
CVE-2022-21836
Windows 憑證詐騙弱點
影響
詐騙
嚴重性
重要
是否已公開揭露?
是
是否為已知利用?
否
弱點
遭到利用的可能性較小
CVSS 分數量度
基本 CVSS 分數:7.8
權限要求:低
機密性:高
攻擊媒介:本機
使用者互動:無
整合:高
攻擊複雜性:低
範圍:未變更
可用性:高
受影響的軟體:
所有支援的 Windows 版本
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21836
CVE-2022-21919
Windows User Profile Service 權限提高弱點
影響
權限提高
嚴重性
重要
是否已公開揭露?
是
是否為已知利用?
否
弱點
較可能遭到利用
CVSS 分數量度
基本 CVSS 分數:7.0
權限要求:低
機密性:高
攻擊媒介:本機
使用者互動:無
整合:高
攻擊複雜性:高
範圍:未變更
可用性:高
受影響的軟體:
所有支援的 Windows 版本
其他相關資訊:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21919
關於資訊一致性
我們致力於透過靜態 (本郵件) 與動態 (網站上) 內容的方式,為您提供精確的資訊。Microsoft 會經常更新網站上的資訊安全內容,以反映最新資訊。這可能造成本郵件的資訊與 Microsoft 網站上所發佈的資訊安全內容不一致。屆時請以 Microsoft 網站上所發佈的資訊安全內容為準。