微软5月补丁日
多个高危安全漏洞
5月9日,微软官方发布了本月的安全更新通告,修复了多个高危漏洞,其中包含一个在野利用的提权漏洞,涉及到的产品软件包括 Windows Network File System、SharePoint Server、OLE等:
https://msrc.microsoft.com/update-guide/releaseNote/2023-May
漏洞描述
本月微软例行安全更新中修复的漏洞值得重点关注的包括:
CVE-2023-24941: Windows 网络文件系统远程代码执行漏洞
CVE-2023-24941 为 Windows 网络文件系统远程代码执行漏洞,CVSS 评分 9.8,微软官方危害评级为严重。未经授权的用户可以以高权限在受影响的服务器上执行任意代码。目前该漏洞影响NFSv4.1,但不影响NFSv2.0以及NFSv3.0。用户可以通过降低NFS版本来缓解此次影响,但需打上2022年5月份的针对NFSv2.0以及NFSv3.0严重漏洞的补丁(CVE-2022-26937)。
CVE-2023-29325:Windows OLE 远程执行代码漏洞
CVE-2023-29325 为 Windows OLE 远程执行代码漏洞,CVSS 评分 8.1,微软官方危害评级为严重。攻击者通过向目标发送特制的RTF e-mail,当用户使用预览或打开功能时会触发漏洞并在目标机器上执行任意代码。目前该漏洞可能影响Windows Outlook以及其他Office应用。
CVE-2023-29336:Win32k 特权提升漏洞
CVE-2023-29336 为 Windows 上的特权提升漏洞,CVSS 评分 7.8, 微软官方危害评级为高危。成功利用此漏洞的攻击者可以获得系统最高特权SYSTEM。此漏洞相关细节和详情尚未有公开报告披露,但根据微软公告,该漏洞已出现在野利用。
CVE-2023-24955:Microsoft SharePoint Server 远程执行代码漏洞
CVE-2023-24955 为 Microsoft SharePoint Server 远程执行代码漏洞,CVSS评分 7.2,微软官方危害评级为严重。已通过身份认证且作为站点所有者的攻击者可以在目标服务中执行任意代码。
解决方案
微软官方已发布相应的补丁修复漏洞,Windows 系统用户可通过默认开启的安全更新检查进行漏洞修复更新,也可以访问以下链接手动安装相关的漏洞补丁:
https://msrc.microsoft.com/update-guide/releaseNote/2023-May
参考资料
https://msrc.microsoft.com/update-guide/releaseNote/2023-May
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | 微软5月补丁日多个高危安全漏洞
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论