漏洞预警 | 2023年12月微软安全更新通告

0x00 漏洞概述

2023年12月12日，微软发布了2023年12月安全更新，修复了36个安全问题，涉及组件包括：

• Windows Media

• Microsoft Edge（基于 Chromium）

• Microsoft Office Outlook

• Microsoft Dynamics

• Microsoft Windows DNS

• Azure Connected Machine Agent

• Azure 机器学习

• Windows MSHTML 平台

• Windows USB 大容量存储级驱动程序

• Windows Internet 连接共享 (ICS)

• Windows Win32K

• Windows Kernel

• Microsoft 蓝牙驱动程序

• Windows DHCP 服务器

• Windows ODBC 驱动程序

• Windows 内核模式驱动程序

• XAML Diagnostics

• Windows DPAPI（数据保护应用程序编程接口）

• Windows 电话服务器

• Microsoft WDAC OLE DB provider for SQL

• Microsoft Office Word

• Windows Defender

• Microsoft Power Platform 连接器

• Windows 本地安全认证子系统服务 (LSASS)

• Windows Cloud Files Mini Filter Driver

0x01 重要漏洞简述

CVE-2023-36019

组件：Microsoft Power Platform Connector

漏洞类型：欺骗漏洞

影响：执行恶意脚本

简述：可通过诱导用户单击特制的URL来利用该漏洞，可能导致恶意脚本在受害者计算机上的浏览器中执行。

详情：https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2023-36019

CVE-2023-35630

组件：Internet Connection Sharing

漏洞类型：远程代码执行

影响：执行代码

简述：成功利用该漏洞需要修改DHCPv6 DHCPv6_MESSAGE_INFORMATION_REQUEST输入消息中的option->length字段。

详情：https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2023-35630

CVE-2023-35641

组件：Internet Connection Sharing

漏洞类型：远程代码执行

影响：执行代码

简述：可通过向运行Internet连接共享服务的服务器发送恶意制作的DHCP消息来利用该漏洞。

详情：https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2023-35641

CVE-2023-35628

组件：Windows MSHTML Platform

漏洞类型：远程代码执行

影响：执行代码

简述：可以在无需用户交互的情况下远程利用，但攻击复杂度较高。威胁者可通过电子邮件或其他方式向受害者发送恶意链接并诱导用户单击恶意链接来利用该漏洞；或者可以通过发送特制电子邮件来利用该漏洞，该电子邮件可能会在Outlook 客户端检索和处理时自动触发，而无需受害者打开、阅读或单击链接，这可能会导致在预览窗格中查看电子邮件之前被利用。成功利用该漏洞可能导致在受害者的计算机上远程执行代码。

详情：https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2023-35628

0x02 修复建议

微软官方已针对受支持的产品版本发布了安全补丁，强烈建议受影响用户尽快安装补丁进行防护，官方下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec

查看更新情况

右键点击Windows图标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。

针对未成功安装的更新，可点击更新名称跳转到微软官方下载页面，建议用户点击该页面上的链接，转到“Microsoft更新目录”网站下载独立程序包并安装。

原文始发于微信公众号（浅安安全）：漏洞预警 | 2023年12月微软安全更新通告