2022 年 6 月 Microsoft 安全性更新發佈

本通知的目的為何:

此通知提供已於 2022 年 6 月 14 日 (太平洋時間) 發行的安全性更新概觀。Microsoft 每月的第二個星期二都會發行安全性更新，解決 Microsoft 產品中新回報的安全性弱點。

安全性更新概觀

下列摘要說明了此版本所涉及的產品系列，其中詳細介紹了嚴重性、弱點、公開揭露和已知利用狀態以及最大 CVSS 基本分數。

產品系列

嚴重性

RCE

EOP

SFB

DOS

SPF

TMP

公開揭露

已知利用

最高 CVSS

Windows 11

Crit

8.8

Windows 10 21H2

Crit

8.8

Windows 10 v21H1

Crit

8.8

Windows 10 20H2 與 Windows Server v20H2

Crit

8.8

Windows Server 2022

Crit

8.8

Windows Server 2019

Crit

9.8

Windows Server 2016

Crit

9.8

Windows 8.1 與 Server 2012 R2

Crit

9.8

Windows Server 2012

Crit

9.8

Microsoft Office

Imp

7.8

Microsoft SharePoint

Imp

8.8

Microsoft .NET

Imp

5.5

Microsoft Visual Studio

Imp

5.5

Microsoft Azure 相關軟體

Imp

7.8

Microsoft SQL Server

Imp

7.5

System Center Operations Center (SCOM)

Imp

7.8

注意：

重疊元件的弱點可能不止一次列於表格中。
上述摘要為最新常用軟體版本的更新概觀。當中可能未列出較舊版本、應用程式及開放原始碼軟體的更新。
此內容完成後，仍可能會對安全性更新詳細資料進行變更。
請在安全性更新導覽中，尋找每月發行之所有更新的詳細資料： https://msrc.microsoft.com/update-guide
如需其他詳細資料，請參閱版本資訊，網址為： https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun

用於將更新部署到遠端裝置的資源

既然有這麼多人在遠端工作，那麼現在正是檢閱有關將安全性更新部署到桌面、膝上型電腦和平板電腦等遠端裝置的指南的好時機。以下是一些資源，可以回答關於將更新部署到遠端裝置的問題。

第 1 部分： 幫助企業快速設定以透過個人電腦和行動裝置安全地工作
第 2 部分： 幫助 IT 人員在家中傳送以及佈建工作電腦，以在 COVID-19 期間安全地工作
第 3 部分： 使用 Configuration Manager 在 Covid-19 期間在家管理工作裝置
第 4 部分： 使用雲端管理閘道 (CMG) 管理遠端電腦
第 5 部分： 在遠端工作環境中使用 Configuration Manager 管理「星期二修補程式日」

另請參閱：
• 控制 VPN 連線用戶端的 Configuration Manager 頻寬限制

本月份的弱點詳細資料

下列是此版本中所述部分安全性弱點的摘要。這些特定弱點是基於下列一個或多個原因而從版本的大型弱點集合中選來：1) 我們收到有關弱點的查詢，2) 弱點可能已在商業刊物中受到注意，或者 3) 版本中的弱點可能比其他弱點更具影響力。由於我們並未針對版本中的每個弱點提供摘要，因此，請檢閱安全性更新導覽中的內容，以取得這些摘要中未提供的資訊。

ADV220002

Intel 處理器 MMIO 過時資料弱點的 Microsoft 指引

摘要

2022 年 6 月 14 日，Intel 發佈有關一種記憶體對應 I/O 弱點的資訊，其稱為處理器 MMIO 過時資料弱點。

成功利用這些弱點的攻擊者可能會讀取信任邊界間具有特殊權限的資料。在共同資源環境 (例如存在於某些雲端服務設定) 中，這些弱點可能會允許一個虛擬機器不當存取另一個虛擬機器中的資訊。在獨立系統的非瀏覽案例中，攻擊者需要系統的先前存取權，或是在目標系統上執行蓄意製作應用程式的能力，才能利用這些弱點。

這些弱點又稱為：

CVE-2022-21123 - 共用緩衝區資料讀取 (SBDR) 

CVE-2022-21125 - 共用緩衝區資料取樣 (SBDS)

CVE-2022-21127 - 特殊暫存器緩衝區資料取樣更新 (SRBDS 更新)

CVE-2022-21166 - 裝置暫存器部分寫入 (DRPW)

是否已公開揭露？

否

是否為已知利用？

Microsoft 目前尚未收到任何資訊，指出客戶已遭受這些弱點的攻擊。Microsoft 會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作，一同保護客戶。

弱點

遭到利用的可能性較小

建議動作

為保護您的系統防範這些弱點，Microsoft 建議您採取下列動作並參閱諮詢中的後續章節，以便針對您的特定情況取得進一步資訊的連結。

最佳的保護是讓電腦保持最新狀態。這包括安裝 OS 和微碼更新。

為了獲得全面保護，客戶可能還必須停用「超執行緒」(又稱為「同步多執行緒」(SMT))。請參閱知識庫文章 4073757  以取得有關保護 Windows 裝置的指引。
OEM 可能也會提供其他指引。若客戶使用 Surface 產品，建議參閱 Microsoft 知識庫文章 4073065。

Microsoft 建議企業客戶仔細檢閱這個資訊安全諮詢，並註冊安全性通知郵件程式，以便在資訊安全諮詢的內容變更時收到通知。請參閱 Microsoft 技術安全性通知。
執行 PowerShell 指令碼 Get-SpeculationControlSettings，確認各個不同 CVE 的保護狀態。如需詳細資訊及若要取得 PowerShell 指令碼，請參閱 Understanding Get-SpeculationControlSettings PowerShell 指令碼輸出。

請參閱 ADV220002，以取得專為 Microsoft Windows 用戶端客戶、Microsoft Windows Server/Azure Stack HCI 客戶、Microsoft 雲端客戶及 Microsoft SQL Server 客戶提供的建議動作。

其他相關資訊：

Intel 處理器 MMIO 過時資料弱點的 Microsoft 指引： https://msrc.microsoft.com/update-guide/vulnerability/ADV220002

Intel 資訊安全諮詢 (Intel-SA-00615)： https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00615.html

CVE-2022-30190 (重新發行)

Microsoft Windows 支援服務診斷工具 (MSDT) 遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重要

是否已公開揭露？

是

是否為已知利用？

是

弱點

已偵測到利用

CVSS 分數量度

基本 CVSS 分數：7.8

權限要求：無

機密性：高

攻擊媒介：本機

使用者互動：必須

完整性：高

攻擊複雜性：低

範圍：未變更

可用性：高

受影響的軟體：

所有支援的 Windows 版本

注意：此 CVE 原先於 2022 年 5 月 30 日發行，此表格中的詳細資料並未陳述在上面的「安全性更新概觀」中。

CVE-2022-30136

Windows 網路檔案系統遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重大

是否已公開揭露？

否

是否為已知利用？

否

弱點

較可能遭到利用

CVSS 分數量度

基本 CVSS 分數：9.8

權限要求：無

機密性：高

攻擊媒介：網路

使用者互動：無

完整性：高

攻擊複雜性：低

範圍：未變更

可用性：高

受影響的軟體：

Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

CVE-2022-30165

Windows Kerberos 權限提高弱點

影響

權限提高

嚴重性

重要

是否已公開揭露？

否

是否為已知利用？

否

弱點

遭到利用的可能性較小

CVSS 分數量度

基本 CVSS 分數：8.8

權限要求：低

機密性：高

攻擊媒介：網路

使用者互動：無

完整性：高

攻擊複雜性：低

範圍：未變更

可用性：高

受影響的軟體：

Windows 11、Windows 10 版本 21H2、Windows 10 版本 21H1、Windows 10 版本 20H2、Windows Server 2022、Windows Server 版本 20H2 和 Windows Server 2019、Windows Server 2016

CVE-2022-30164

Kerberos AppContainer 安全性功能略過弱點

影響

安全性功能略過

嚴重性

重要

是否已公開揭露？

否

是否為已知利用？

否

弱點

遭到利用的可能性較小

CVSS 分數量度

基本 CVSS 分數：8.4

權限要求：低

機密性：高

攻擊媒介：本機

使用者互動：無

完整性：高

攻擊複雜性：低

範圍：已變更

可用性：高

受影響的軟體：

所有支援的 Windows 版本

CVE-2022-30153

Windows 輕量型目錄存取通訊協定 (LDAP) 遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重要

是否已公開揭露？

否

是否為已知利用？

否

弱點

遭到利用的可能性較小

CVSS 分數量度

基本 CVSS 分數：8.8

權限要求：無

機密性：高

攻擊媒介：網路

使用者互動：必須

完整性：高

攻擊複雜性：低

範圍：未變更

可用性：高

受影響的軟體：

所有支援的 Windows 版本

CVE-2022-30163

Windows Hyper-V 遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重大

是否已公開揭露？

否

是否為已知利用？

否

弱點

遭到利用的可能性較小

CVSS 分數量度

基本 CVSS 分數：8.5

權限要求：低

機密性：高

攻擊媒介：網路

使用者互動：無

完整性：高

攻擊複雜性：高

範圍：已變更

可用性：高

受影響的軟體：

所有支援的 Windows 版本

CVE-2022-30157

Microsoft SharePoint Server 遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重要

是否已公開揭露？

否

是否為已知利用？

否

弱點

遭到利用的可能性較小

CVSS 分數量度

基本 CVSS 分數：8.8

權限要求：低

機密性：高

攻擊媒介：網路

使用者互動：無

完整性：高

攻擊複雜性：低

範圍：未變更

可用性：高

受影響的軟體：

Microsoft SharePoint Server 2019、SharePoint Enterprise Server 2016、SharePoint Enterprise Server 2013、SharePoint Server 訂閱版本

CVE-2022-30173

Microsoft Excel 遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重要

是否已公開揭露？

否

是否為已知利用？

否

弱點

不太可能遭到利用

CVSS 分數量度

基本 CVSS 分數：7.8

權限要求：無

機密性：高

攻擊媒介：本機

使用者互動：必須

完整性：高

攻擊複雜性：低

範圍：未變更

可用性：高

受影響的軟體：

Microsoft Excel 2016、Excel 2013、Office Web Apps Server 2013

CVE-2022-29143

Microsoft SQL Server 遠端執行程式碼弱點

影響

遠端執行程式碼

嚴重性

重要

是否已公開揭露？

否

是否為已知利用？

否

弱點

遭到利用的可能性較小

CVSS 分數量度

基本 CVSS 分數：7.5

權限要求：低

機密性：高

攻擊媒介：網路

使用者互動：無

完整性：高

攻擊複雜性：高

範圍：未變更

可用性：高

受影響的軟體：

Microsoft SQL Server 2019 (CU 16、GDR)、Microsoft SQL Server 2017 (CU 29、GDR)、Microsoft SQL Server 2016 (CU 17、GDR、Azure Connectivity Pack)、Microsoft SQL Server 2014 (CU 4、GDR)