.NET Framework 遠端執行程式碼弱點
CVE-2022-41089
Security Vulnerability
發行日期: 2022年12月13日
上次更新:2023年6月30日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2022-41089
- 影響
- 遠端執行程式碼
- 最大嚴重性
- 重要
- CVSS Source
- Microsoft
- 向量字串
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 7.8 / 6.8基本分數量度:7.8 / 時間分數量度: 6.8
Metric
Value
基本分數量度(8)
攻擊媒介
該量度反映出可能利用弱點的環境。基本分數越高,攻擊者便更容易利用其更遠的遠端(邏輯上和物理上的),從而破壞易受攻擊的元件。
本機
易受攻擊的元件未繫結到網路堆疊,而攻擊者的路徑是透過讀取/寫入/執行功能實現的。攻擊者要麼透過在本地(例如,鍵盤、控制台)或遠端(例如,SSH)存取目標系統來利用此弱點,要麼依靠其他人的使用者交互來執行利用弱點所需的操作(例如,欺騙合法使用者打開惡意文件)。
攻擊複雜性
該量度描述攻擊者無法控制卻是利用此弱點必須存在的條件。這樣的條件可能需要收集有關目標或計算異常的更多資訊。該量度的評估不包括為了利用此弱點而進行使用者交互的任何要求。如果需要特定設定才能攻擊成功,則應假定該設定下易受攻擊元件的基本量度得到評分。
低
不存在專門的存取條件或可減輕的情況。攻擊者可以期望對易受攻擊的元件重複取得成功。
權限要求
該量度描述攻擊者在成功利用此弱點之前必須擁有的權限等級。
無
攻擊者在攻擊之前未經授權,因此不需要設定或檔案的任何存取權即可進行攻擊。
使用者互動
該量度擷取攻擊者以外的使用者參與成功入侵易受攻擊元件的要求。該量度確定是否可以僅根據攻擊者的意願來利用弱點,還是必須以某種方式參與到單獨的使用者(或使用者啟動的進程)中。
必須
成功利用此弱點需要使用者採取一些動作後,才能利用此弱點。
範圍
成功的攻擊會影響除易受攻擊的元件以外的其他元件嗎?如果是這樣,則基本分數會增加,並且應相對於受影響的元件而對機密性、完整性和身份驗證量度進行評分。
未變更
遭利用的弱點僅會影響由相同安全性授權單位管理的資源。在這種情況下,易受攻擊的元件和受影響的元件是相同的,或者均由同一安全機構管理。
機密性
該量度用於衡量由於成功利用弱點,而對軟體元件管理之資訊資源機密性的影響。機密性是指將資訊存取和披露僅限於授權使用者,以及防止未經授權的使用者存取或披露資訊。
高
完全喪失機密性,導致向攻擊者洩漏受影響元件中的所有資源。或者,僅獲得一些受限資訊的存取權,但是所洩漏的資訊會帶來嚴重的直接影響。
完整性
該量度用於衡量成功利用的弱點對完整性的影響。完整性是指資訊的可信賴性和準確性。
高
完全喪失完整性,或者完全失去防護。例如,攻擊者能夠修改受受影響元件防護的任何/所有檔案。或者,只能修改某些檔案,但是惡意修改會對受影響的元件造成直接的嚴重後果。
可用性
該量度用於衡量由於成功利用弱點,而對受影響元件的可用性產生的影響。它是指受影響元件本身(例如,網路服務:如Web、資料庫、電子郵件)的可用性喪失。由於可用性是指信息資源的可存取性,因此消耗網路頻寬、處理器週期或磁碟空間的攻擊都會影響受影響元件的可用性。
高
完全喪失可用性,導致攻擊者能夠完全拒絕存取受影響元件中的資源。這種可用性喪失情況既可以在攻擊者繼續進行攻擊的同時存續,也可以在攻擊完成後仍然持續存在。或者,攻擊者可以拒絕某些可用性,但是可用性的喪失會對受影響的元件造成直接的嚴重後果(例如,攻擊者無法破壞現有連接,但可以阻止新連接;攻擊者可以反復利用一個弱點,該弱點在每次成功攻擊的情況下只會洩漏少量記憶體,但是在反復利用之後,該服務將變得完全不可用)。
時間分數量度(3)
利用程式碼成熟度
該量度用於衡量弱點遭到攻擊的可能性,而且通常根據惡意探索技術的目前狀態、惡意探索程式碼的可用性或「世界各地」使用中的惡意探索方式來進行。
未驗證
沒有可用的惡意探索程式碼,或者是理論上可進行惡意探索。
修復等級
弱點的修復等級是確定優先順序的重要因素。最初發佈時,未修補典型弱點。解決方法或修補程式可能會提供臨時修復,直到發佈正式修補程式或升級為止。這些各個階段中的每個階段都向下調整時間得分,反映出隨著補救工作的最終完成,緊迫性得到降低。
官方修正程式
有完整的廠商解決方案。廠商已經發佈了官方修補程式,或者可執行升級。
報告機密性
該量度用於衡量對弱點存在的信心程度,以及已知技術詳細資料的可信度。有時僅公開存在的弱點,但無具體細節。例如,可能認為會有不良影響,但根本原因可能未知。以後可能會透過研究來證實該弱點,儘管該研究可能不確定,但該研究提示了該弱點可能位於何處。最後,可以透過受影響的技術的作者或廠商的確認來確認弱點。當已知某個弱點確實存在時,該弱點的緊急性就會更高。該量度還表明了可能成為攻擊者的技術知識水準。
已確認
有詳細報告存在,或可能進行功能複製 (功能惡意探索可能做得到這點)。原始程式碼可用於獨立驗證研究的聲明,或者受影響程式碼的作者或廠商已確認存在此弱點。
請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。
可擅用性
下列表格提供最初公開時此弱點的可擅用性評定。
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 利用可能性低
常見問題集
根據 CVSS 量度,攻擊媒介為本機 (AV:L)。為什麼 CVE 標題指出這是執行遠端程式碼?
標題中的遠端一詞,是指攻擊者的位置。這種類型的利用方式有時候稱為「執行任意程式碼」(ACE)。攻擊本身是在本機進行。
例如,當分數指出攻擊媒介會需要在本機進行和使用者互動時,這所描述的利用方式為,攻擊者透過社交工程,說服受害者從網站下載蓄意製作的檔案並予以開啟,以導致對其電腦進行本機攻擊。
致謝
- Eleftherios Panos with Nettitude
- Nick Landers with NetSPI
安全性更新
若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站。
發行日期 Descending
產品
平台
影響
最大嚴重性
文章
下載
Build Number
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 Version 22H2 for ARM64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 20H2 for ARM64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H1 for 32-bit Systems
Remote Code Execution
Important
- 04590.04
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for 32-bit Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for x64-based Systems
Remote Code Execution
Important
- 04590.04
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1809 for 32-bit Systems
Remote Code Execution
Important
- 04010.02
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 11 version 21H2 for ARM64-based Systems
Remote Code Execution
Important
- 4590.02
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for 32-bit Systems
Remote Code Execution
Important
- 04590.04
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for ARM64-based Systems
Remote Code Execution
Important
- 04590.04
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 11 version 21H2 for x64-based Systems
Remote Code Execution
Important
- 04590.02
2022年12月13日
Microsoft .NET Framework 4.8
Windows Server 2012 R2
Remote Code Execution
Important
- 04590.02
- 4590.03
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 22H2 for ARM64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 Version 22H2 for x64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 22H2 for 32-bit Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H1 for ARM64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for ARM64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for x64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 4.6.2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Remote Code Execution
Important
- 04010.02
- 04010.03
2022年12月13日
Microsoft .NET Framework 4.6.2
Windows Server 2008 for x64-based Systems Service Pack 2
Remote Code Execution
Important
- 04010.02
- 04010.03
2022年12月13日
Microsoft .NET Framework 4.6.2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Remote Code Execution
Important
- 04010.02
- 04010.03
2022年12月13日
Microsoft .NET Framework 4.6.2
Windows Server 2008 for 32-bit Systems Service Pack 2
Remote Code Execution
Important
- 04010.02
- 04010.03
2022年12月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows 8.1 for x64-based systems
Remote Code Execution
Important
- 04010.02
- 4010.03
2022年12月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows RT 8.1
Remote Code Execution
Important
- Monthly Rollup
- 04010.02
2022年12月13日
Microsoft .NET Framework 3.5
Windows Server 2012 R2 (Server Core installation)
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.5
Windows Server 2012 (Server Core installation)
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.5
Windows Server 2012
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.5
Windows Server 2012 R2
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.5
Windows 8.1 for 32-bit systems
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.5
Windows 8.1 for x64-based systems
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.0 Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.0 Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 2.0 Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 2.0 Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Remote Code Execution
Important
- 30729.8953
- 30729.8953
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for ARM64-based Systems
Remote Code Execution
Important
- 9115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for x64-based Systems
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows Server 2022 (Server Core installation)
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows Server 2022
Remote Code Execution
Important
- 09115.01
2022年12月13日
Microsoft .NET Framework 4.8
Windows 8.1 for x64-based systems
Remote Code Execution
Important
- 04590.02
- 4590.03
All results loaded
已載入全部 96 列
免責聲明
Microsoft 知識庫提供的資訊係依「現況」提供,不附任何保證。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
version
revisionDate
description
3.0
2023年6月30日
To address a known issue when after installing the December 13, 2022, updates for .NET Framework and .NET, users may have experienced issues with how WPF-based applications render XPS documents, Microsoft has released the June 2023 security updates for .NET Framework and for .NET. We recommend that customers install the June 2023 updates. Please note that if you used any workaround or mitigations for this issue, they are no longer needed, and we recommend you remove them. To remove either of the workarounds see the instructions for removal in the "Alternative Workaround" section of KB5022083 Change in how WPF-based applications render XPS documents.
2.0
2023年1月25日
Revised the Security Updates table to include PowerShell 7.2 and PowerShell 7.3 because these versions of PowerShell 7 are affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/37 for more information.
1.1
2022年12月19日
In the Security Updates table corrected the severity entry for Microsoft .NET Framework 3.5 AND 4.8.1 installed on Windows Server 2022. This is an informational change only. Customers who have successfully installed the update do not need to take any further action.
1.0
2022年12月13日
Information published.
您對 MSRC 安全性更新導覽的滿意度為何?