https://twcert2024.informationsecurity.com.tw/

新聞

Microsoft 推出 2023 年 1 月資安更新包 Patch Tuesday,共修復 98 個漏洞,其中有 1 個 0-day 漏洞

2023 / 01 / 18
編輯部
Microsoft 推出 2023 年 1 月資安更新包 Patch Tuesday,共修復 98 個漏洞,其中有 1 個 0-day 漏洞
Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」,共修復多達 98 個資安漏洞,其中有 11 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 1 個 0-day 漏洞也獲得修復,該漏洞已知遭用於攻擊活動。

本月 Patch Tuesday 修復的漏洞數量眾多,是上個月(2022 年 12 月)49 個的兩倍之多;其中 11 個屬於嚴重等級的漏洞,分類上均為遠端執行任意程式碼、資安防護功能略過,以及執行權限提升類型。

以漏洞類型來區分,這次修復的資安漏洞與分類如下:
  • 權限提升漏洞:39 個;
  • 資安防護功能略過漏洞:4 個;
  • 遠端執行任意程式碼漏洞:33 個;
  • 資訊洩露漏洞:10 個;
  • 服務阻斷(Denial of Service)漏洞:10 個;
  • 假冒詐騙漏洞:2 個。
本月修復的 0-day 漏洞,是 CVE 編號為 CVE-2023-21674 的 Windows 進階本機程序呼叫 (Advanced Local Procedure Call, ALPC) 漏洞,屬於執行權限提升漏洞。Microsoft 指出這是一個可自沙箱中逃出的漏洞,駭侵者可用以取得系統權限,並進一步執行駭侵攻擊。目前已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。

本月尚有 Adobe、Cisco、Citrix、Fortinet、Intel、SAP、Synology 等公司針對其軟硬體產品發布資安更新,供用戶進行更新。
  • CVE 編號:CVE-2023-21674 等
  • 影響產品資訊:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
  • 解決方案:建議系統管理者與 Microsoft 用戶應立即依照指示,以最快速度套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。
本文轉載自TWCERT/CC。