微软2023年1月份于周二补丁日针对98个漏洞发布安全补丁

2023年的1月份的第二个周二，如期而至。微软在 2023 年发布的第一个补丁星期二修复程序共修复了98 个安全漏洞，其中包括该公司表示正在被积极利用的一个漏洞。

本月，微软发布的 98 个新补丁，解决了 Microsoft Windows 和 Windows 组件中的 CVE；办公室和办公室组件；.NET Core 和 Visual Studio Code、3D Builder、Azure Service Fabric 容器、Windows BitLocker、Windows Defender、Windows Print Spooler 组件和 Microsoft Exchange Server。

98 个问题中有 11 个被评为严重，87 个被评为重要，其中一个漏洞在发布时也被列为公开漏洞。另外，这家 Windows 制造商预计将为其基于 Chromium 的 Edge 浏览器发布更新。

受到攻击的漏洞与CVE-2023-21674（CVSS 评分：8.8）有关，这是 Windows 高级本地过程调用 ( ALPC ) 中的一个权限提升漏洞，攻击者可以利用该漏洞获取 SYSTEM 权限。

“这个漏洞可能导致浏览器沙箱逃逸，”微软在一份公告中指出，并感谢 Avast 研究人员 Jan Vojtěšek、Milánek 和 Przemek Gmerek 报告了这个漏洞。

虽然该漏洞的详细信息仍处于保密状态，但成功的利用需要攻击者已经在主机上获得初始感染。该缺陷也可能与 Web 浏览器中存在的错误相结合，以突破沙箱并获得提升的权限。

网络威胁研究主管 Kev Breen沉浸式实验室说：“一旦建立了最初的立足点，攻击者就会寻求跨网络移动或获得更高级别的访问权限，而这些类型的特权升级漏洞是该攻击者剧本的关键部分。”

除Microsoft 发布了最新的修复和更新，Adobe 也在周二发布了更新。

Adobe 发布了四个补丁，解决了 Adobe Acrobat 和 Reader、InDesign、InCopy 和 Adobe Dimension 中的 29 个 CVE。通过 ZDI 程序提交了总共 22 个这些错误。Reader的更新修复了 15 个错误，其中八个严重程度为严重。如果受影响的系统打开特制文件，其中最严重的将允许任意代码执行。InDesign的补丁修复了六个错误，其中四个被评为严重。与 Reader 补丁类似，打开恶意文件可能会导致代码执行。InCopy也是如此，它还收到了六个 CVE 的修复程序。维度的更新仅解决了两个 CVE，但该修复程序还包括对 SketchUp 中依赖项的更新。旧版本的时间戳为 2 月 22 日，而今天发布的版本时间戳为 11 月 9 日。

-        CVE-2023-21674 – Windows 高级本地过程调用 (ALPC) 特权提升漏洞
这是本月被列为受到主动攻击的漏洞之一。它允许本地攻击者将特权从 Chromium 内的沙盒执行提升到内核级执行和完整的 SYSTEM 特权。这种类型的错误通常与某种形式的代码提取相结合，以传播恶意软件或勒索软件。考虑到 Avast 的研究人员向微软报告了这一情况，这种情况似乎很有可能发生。

-        CVE-2023-21743 - Microsoft SharePoint Server 安全功能绕过漏洞
您很少看到严重级别的安全功能绕过 (SFB)，但这个似乎符合要求。此错误可能允许未经身份验证的远程攻击者与受影响的 SharePoint 服务器建立匿名连接。系统管理员需要采取额外的措施来完全保护免受此漏洞的影响。要完全解决此错误，您还必须触发 SharePoint 升级操作，该操作也包含在此更新中。有关如何执行此操作的完整详细信息，请参见公告。像这样的情况就是为什么人们尖叫“只要修补它！”的原因。表明他们实际上从未需要为现实世界中的企业打补丁。

-        CVE-2023-21763 / CVE-2023-21764 - Microsoft Exchange Server 特权提升漏洞
这些漏洞由 ZDI 研究员 Piotr Bazydło 发现，是CVE-2022-41123补丁失败的结果。因此，这些漏洞是根据我们针对不完整补丁导致的错误的新时间表报告的。由于使用了硬编码路径，本地攻击者可以加载他们自己的 DLL 并在 SYSTEM 级别执行代码。最近的一份报告显示，有将近 70,000 台未打补丁的 Exchange 服务器可通过互联网访问。如果您在本地运行 Exchange，请快速测试和部署所有 Exchange 修复程序，并希望微软这次能够正确修复这些错误。

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 网络安全等级保护：等级保护测评过程及各方责任
4. 网络安全等级保护：政务计算机终端核心配置规范思维导图
5. 网络安全等级保护：什么是等级保护？
   
6. 网络安全等级保护：信息技术服务过程一般要求
7. 网络安全等级保护：等级保护测评过程要求PPT
8. 等级保护测评之安全物理环境测评PPT
   
9. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
10. 闲话等级保护：什么是网络安全等级保护工作的内涵？
11. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
12. 闲话等级保护：测评师能力要求思维导图
    
13. 闲话等级保护：应急响应计划规范思维导图
    
14. 闲话等级保护：浅谈应急响应与保障
    
15. 闲话等级保护：如何做好网络总体安全规划
    
16. 闲话等级保护：如何做好网络安全设计与实施
    
17. 闲话等级保护：要做好网络安全运行与维护
    
18. 闲话等级保护：人员离岗管理的参考实践

19. 网络安全等级保护：浅谈物理位置选择测评项

20. 信息安全服务与信息系统生命周期的对应关系
21. >>>工控安全<<<
22. 工业控制系统安全：信息安全防护指南
23. 工业控制系统安全：工控系统信息安全分级规范思维导图
24. 工业控制系统安全：DCS防护要求思维导图
25. 工业控制系统安全：DCS管理要求思维导图
26. 工业控制系统安全：DCS评估指南思维导图
27. 工业控制安全：工业控制系统风险评估实施指南思维导图
28. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
29. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
30. >>>数据安全<<<

31. 数据安全风险评估清单

32. 成功执行数据安全风险评估的3个步骤

33. 美国关键信息基础设施数据泄露的成本

34. VMware 发布9.8分高危漏洞补丁

35. 备份：网络和数据安全的最后一道防线

36. 数据安全：数据安全能力成熟度模型

37. 数据安全知识：什么是数据保护以及数据保护为何重要？

38. 信息安全技术：健康医疗数据安全指南思维导图

39. >>>供应链安全<<<

40. 美国政府为客户发布软件供应链安全指南
    

41. OpenSSF 采用微软内置的供应链安全框架
    

42. 供应链安全指南：了解组织为何应关注供应链网络安全
    

43. 供应链安全指南：确定组织中的关键参与者和评估风险
    

44. 供应链安全指南：了解关心的内容并确定其优先级

45. 供应链安全指南：为方法创建关键组件

46. 供应链安全指南：将方法整合到现有供应商合同中

47. 供应链安全指南：将方法应用于新的供应商关系

48. 供应链安全指南：建立基础，持续改进。

49. 思维导图：ICT供应链安全风险管理指南思维导图
    

50. 英国的供应链网络安全评估

51. >>>其他<<<

52. 网络安全十大安全漏洞

53. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

54. 网络安全等级保护：应急响应计划规范思维导图

55. 安全从组织内部人员开始

56. 影响2022 年网络安全的五个故事

57. 2023年的4大网络风险以及如何应对

58. 网络安全知识：物流业的网络安全

原文始发于微信公众号（祺印说信安）：微软2023年1月份于周二补丁日针对98个漏洞发布安全补丁