2023年1月的第二个星期二如期而至。微软针对2023年发布的第一个补丁星期二修复程序共修复了98个安全漏洞,其中包括该公司表示正在被积极利用的漏洞。本月,微软发布了98个新补丁,解决了MicrosoftWindows和Windows组件中的CVE;办公室和办公室组件;.NETCore和VisualStudioCode、3DBuilder、AzureServiceFabric容器、WindowsBitLocker、WindowsDefender、WindowsPrintSpooler组件和MicrosoftExchangeServer。98个问题中有11个被评为关键问题,87个被评为重要问题,其中一个错误在发布时也被列为公共错误。另外,这家Windows制造商预计将发布其基于Chromium的Edge浏览器的更新。被利用的漏洞与CVE-2023-21674(CVSS评分:8.8)相关,这是Windows高级本地过程调用(ALPC)中的一个提权漏洞,可让攻击者获得SYSTEM权限。“这个漏洞可能允许浏览器沙箱逃逸,”微软在一份公告中说,感谢Avast研究人员JanVojtě?ek、Milánek和PrzemekGmerek报告了这个漏洞。虽然该漏洞的细节仍处于保密状态,但成功利用需要攻击者已经在主机上进行初始感染。该缺陷还可能与Web浏览器中的错误相结合,以突破沙箱并获得更高的权限。“一旦建立了初始立足点,攻击者就会寻求跨网络移动或获得更高级别的访问权限,而这些类型的特权升级漏洞是攻击者剧本的一部分,”网络威胁研究Immersion总监KevBreen说实验室。的关键部分。..”除了微软发布最新的修复和更新外,Adobe在周二也发布了更新。Adobe发布了四个补丁,解决了Adob??eAcrobat和Reader、InDesign、InCopy和Adob??eDimension中的29个CVE。总共有22个这些错误是通过ZDI程序提交的。Reader更新修复了15个错误,其中八个是严重错误。如果受影响的系统打开特制文件,其中最严重的将允许任意代码执行。InDesign补丁修复了六个错误,其中四个被评为严重错误。与Reader补丁类似,打开恶意文件可能会导致代码执行。InCopy也是如此,它也收到了针对六个CVE的修复。Dimensions的更新仅解决了两个CVE,但修复还包括对SketchUp中依赖项的更新。旧版本的时间戳是2月22日,而今天发布的版本的时间戳是11月9日。CVE-2023-21674–Windows高级本地过程调用(ALPC)特权提升漏洞这是本月被列为受到积极攻击的漏洞之一。它允许本地攻击者将特权从Chromium中的沙盒执行提升到内核级执行和完整的SYSTEM特权。这种类型的错误通常与某种形式的代码提取相结合,以传播恶意软件或勒索软件。考虑到Avast的研究人员向微软报告了这一点,这似乎很可能会发生。CVE-2023-21743-MicrosoftSharePointServer安全功能绕过漏洞您很少看到关键级别的安全功能绕过(SFB),但这个似乎符合要求。此错误可能允许未经身份验证的远程攻击者与受影响的SharePoint服务器建立匿名连接。系统管理员需要采取额外措施来全面防范此漏洞。要完全解决此错误,您还必须触发SharePoint升级操作,该操作也包含在此更新中。有关如何执行此操作的完整详细信息,请参阅公告。像这样的情况就是人们尖叫“只是修补它!”的原因。表明他们实际上从来不需要为现实世界的业务打补丁。CVE-2023-21763/CVE-2023-21764-MicrosoftExchangeServer特权提升漏洞这些漏洞由ZDI研究员PiotrBazyd?o发现,是CVE-2022-41123补丁失败的结果。因此,这些漏洞是根据我们针对由不完整补丁引起的错误的新时间表报告的。由于硬编码路径,本地攻击者可以加载他们自己的DLL并在SYSTEM级别执行代码。最近的一份报告表明,有近70,000台未打补丁的Exchange服务器可以通过Internet访问。如果您在本地运行Exchange,请快速测试和部署任何Exchange修复程序,并希望Microsoft这次能解决这些错误。
