【漏洞通告】关于Microsoft Windows HTTP协议栈远程代码执行漏洞安全风险通告

漏洞描述

2022 年 1 月 14 日, 监测到一则微软官方公开并修复了 Microsoft Windows HTTP 协议栈远程代码执行( CVE-2022-21907) 漏洞的信息。 该漏洞是由于 HTTP 协议栈(HTTP.sys)中的HTTP Trailer Support 功能中存在边界错误导致缓冲区溢出。 

漏洞编号

CVE-2022-21907

漏洞危害

未经身份认证的远程攻击者可通过向目标 Web 服务器发送特制的 HTTP 请求来利用此漏洞,从而在目标系统上执行任意代码。

漏洞等级

高危

受影响版本

Windows 11 for ARM64/x64-based Systems

Windows 10 Version 1809/20H2/21H1/21H2

Windows Server, version 20H2

Windows Server 2019/2022