https://www.informationsecurity.com.tw/seminar/2024_HighTech/
https://www.informationsecurity.com.tw/seminar/2024_HighTech/

新聞

Microsoft 推出 2023 年 6 月 Patch Tuesday 例行更新修補包

2023 / 06 / 19
編輯部
Microsoft 推出 2023 年 6 月 Patch Tuesday 例行更新修補包
Microsoft 日前推出 2023 年 6 月例行資安更新修補包「Patch Tuesday」,共修復 78 個資安漏洞;特別的是其中含有 38 個屬於遠端執行任意程式碼(RCE)的漏洞。

本月 Patch Tuesday 修復的漏洞數量有 78 個,較上個月(2023 年 5 月)的 38 個資安漏洞增加許多;而在這 78 個漏洞中有多達 38 個屬於遠端執行任意程式碼類型,其中有 6 個的危險程度評級達到「嚴重」等級(Critical)。

這次的 Patch Tuesday 也是自 2022 年 3 月以來,首次沒有任何 0-day 漏洞的例行性更新。

以漏洞類型來區分,這次修復的資安漏洞與分類如下:
  • 權限提升漏洞:17 個;
  • 資安防護功能略過漏洞:3 個;
  • 遠端執行任意程式碼漏洞:32 個;
  • 資訊洩露漏洞:5 個;
  • 服務阻斷(Denial of Service)漏洞:10 個;
  • 假冒詐騙漏洞:10 個;
  • Edge -Chromium 漏洞:1 個。
雖然本月的 Patch Tuesday 沒有任何已遭大規模濫用的 0-day 漏洞,但仍有幾個值得用戶注意,可能已遭駭侵者用於攻擊的漏洞如下:

第一個是 CVE 編號為 CVE-2023-29357 的 Microsoft SharePoint Server 權限提升漏洞;該漏洞存於 Microsoft SharePoint 之中,可讓駭侵者將自身執行權限提升到任何用戶等級,包括管理員等級在內。

第二個值得注意的漏洞是 CVE-2023-32031,是存於 Microsoft Exchange Server 中的遠端執行任意程式碼漏洞。
  • CVE 編號:CVE-2023-29357、CVE-2023-32031等
  • 影響產品:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
  • 解決方案:建議系統管理者與 Microsoft 用戶應立即依照指示,盡速套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。
本文轉載自TWCERT/CC。