微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁

admin 2023年3月23日08:01:11评论79 views字数 2546阅读8分29秒阅读模式

微软 2023 年 3 月的补丁星期二更新正在推出,修复了一组80 个安全漏洞,其中两个已在野外被积极利用。这次微软发布漏洞日期,正好是Pi Day!

3 月 14 日 (3/14) 在世界各地庆祝圆周率日。Pi(希腊字母“ π ”)是数学中用来表示常数的符号——圆的周长与其直径的比——大约为 3.14159。Pi Day 是数学爱好者一年一度的机会,可以背诵 Pi 的无限数字,与朋友讨论数学,吃馅饼。
Pi 已计算到小数点后超过 50 万亿位。作为一个无理数和超越数,它会无限延续下去,没有重复,没有规律。虽然典型的计算只需要少数数字,但 pi 的无限性质使记忆和计算越来越多的数字成为一个有趣的挑战。

80 个错误中有 8 个被评为严重,71 个被评为重要,1 个严重程度被评为中等。除了最近几周这家科技巨头在其基于 Chromium 的 Edge 浏览器中修复的29 个缺陷之外,还进行了这些更新。

受到主动攻击的两个漏洞包括 Microsoft Outlook 权限提升漏洞(CVE-2023-23397,CVSS 评分:9.8)和 Windows SmartScreen 安全功能绕过漏洞(CVE-2023-24880,CVSS 评分:5.1)。

微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁

CVE-2023-23397 是“当攻击者发送带有扩展 MAPI 属性的消息时触发的,该消息带有 UNC 路径到威胁参与者控制的服务器上的 SMB (TCP 445) 共享,”微软在独立公告中表示

威胁行为者可以通过发送特制电子邮件来利用此漏洞,并在 Windows 的 Outlook 客户端检索和处理时自动激活它。因此,这可能会导致在不需要任何用户交互的情况下甚至在预览窗格中查看消息之前就进行利用。

3 月份,Adobe 发布了八个补丁,解决了 Adobe Photoshop、Experience Manager、Dimension、Commerce、Substance 3D Stager、云桌面应用程序和 Illustrator 中的 105 个 CVE。通过 ZDI 程序报告了总共 77 个这些错误。这是一段时间以来最大的 Adobe 更新。Cold Fusion的补丁被列为处于活跃利用状态。它修复了三个错误,包括一个评级为 CVSS 9.8 的关键代码执行错误。此补丁也从 Adobe 获得了 1 的部署优先级。

Dimension的补丁是其中最大的一个,仅该补丁就解决了近 60 个 CVE。Substance 3D Stager的更新也修复了 16 个错误,其中许多错误可能导致任意代码执行。Experience Manager补丁修复了 18 个错误,包括多个跨站点脚本 (XSS) 和开放重定向。

Commerce补丁包括对未经身份验证的文件系统读取的修复。如果您正在使用该平台,这样的披露可能会付出高昂的代价。PhotoshopIllustrator的更新解决了许多可能导致代码在当前用户级别执行的错误。Creative Cloud的补丁修复了一个严重的代码执行错误。

Adobe 本月修复的其他错误在发布时均未被列为众所周知或受到积极攻击。除了 Cold Fusion 之外,Adobe 将这些更新归类为 3 级部署优先级。

微软将漏洞报告归功于乌克兰计算机应急响应小组 (CERT-UA),并补充说它知道俄罗斯的威胁行为者对欧洲的政府、交通、能源和军事部门发起了“有限的有针对性的攻击”。

另一方面,CVE-2023-24880 涉及一个安全绕过漏洞,当打开从 Internet 下载的不受信任的文件时,可以利用该漏洞来逃避 Mark-of-the-Web (MotW) 保护。

这也是 Microsoft 为解决另一个 SmartScreen 绕过漏洞( CVE-2022-44698 ,CVSS 评分:5.4)而发布的窄补丁的结果,该漏洞于去年曝光,并被出于经济动机的攻击者利用来传播 Magniber 勒索软件。

谷歌威胁分析小组 (TAG) 研究员 Benoit Sevens在一份报告中说:“供应商经常发布狭窄的补丁,为攻击者提供迭代和发现新变体的机会。”

“由于 SmartScreen 安全绕过背后的根本原因没有得到解决,攻击者能够快速识别出原始漏洞的不同变体。”

TAG 表示,自 2023 年 1 月以来,它观察到超过 100,000 次使用格式错误的 Authenticode 签名签名的恶意 MSI 文件的下载,从而允许对手在不发出任何安全警告的情况下分发 Magniber 勒索软件。这些下载中的大部分与欧洲用户有关。

美国网络安全和基础设施安全局 (CISA) 将这两个漏洞添加到已知被利用漏洞 ( KEV ) 目录中,并宣布了一项新的试点计划,旨在警告关键基础设施实体注意“通常与已知勒索软件利用相关的漏洞”。“

微软还关闭了一些影响 HTTP 协议栈(CVE-2023-23392,CVSS 评分:9.8)、互联网控制消息协议(CVE-2023-23415,CVSS 评分:9.8)和远程远程代码执行的严重漏洞过程调用运行时(CVE-2023-21708,CVSS 评分:9.8)。

其他值得注意的内容包括针对 Windows 内核中发现的四个权限升级漏洞的补丁、影响 Microsoft PostScript 和 PCL6 类打印机驱动程序的 10 个远程代码执行漏洞,以及Edge 浏览器中的WebView2欺骗漏洞。

您是否了解与第三方应用程序访问您公司的 SaaS 应用程序相关的风险?加入我们的网络研讨会,了解授予的权限类型以及如何将风险降至最低。

微软还修复了 OneDrive for Android 中的两个信息泄露漏洞(CVE-2023-24882CVE-2023-24923,CVSS 评分:5.5),Office for Android 中的一个欺骗漏洞(CVE-2023-23391,CVSS 评分:5.5), OneDrive for iOS 中的一个安全绕过漏洞(CVE-2023-24890,CVSS 分数:4.3),以及 OneDrive for macOS 中的一个权限升级问题(CVE-2023-24930,CVSS 分数:7.8)。

最后是针对可信平台模块 ( TPM ) 2.0 参考库规范(CVE-2023-1017CVE-2023-1018 ,CVSS 评分:8.8)中两个高危漏洞的补丁,这些漏洞可能导致信息泄露或特权升级。

下一个补丁星期二将在 4 月 11 日。

原文始发于微信公众号(河南等级保护测评):微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月23日08:01:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁http://cn-sec.com/archives/1622920.html

发表评论

匿名网友 填写信息