<th id="jdlvh"><kbd id="jdlvh"><tt id="jdlvh"></tt></kbd></th>

  1. <tbody id="jdlvh"></tbody><s id="jdlvh"><samp id="jdlvh"></samp></s><progress id="jdlvh"><track id="jdlvh"></track></progress>

    <dd id="jdlvh"></dd>
  2. <dd id="jdlvh"><pre id="jdlvh"></pre></dd>
    <s id="jdlvh"><mark id="jdlvh"></mark></s>
  3. <dd id="jdlvh"></dd>
    <optgroup id="jdlvh"></optgroup>
    1. ?
      打開微信“掃一掃”,開啟安全數字世界之旅
      截圖或長按保存至相冊,使用微信掃一掃
      首頁 > 安全通告

      安全通告

      當心這30個重要漏洞!微軟發布12月補丁日安全通告
      發布時間 :2023年12月16日
      分享:

      圖片


      近日,亞信安全CERT監測到微軟12月補丁日發布了34個漏洞的安全補丁(不包含此前發布的Microsoft Edge等安全更新),其中,4個被評為緊急,30個被評為重要。包含10個權限提升漏洞,8個遠程代碼執行漏洞,5個欺騙漏洞,6個信息泄露漏洞,5個拒絕服務漏洞。微軟還修復了1個0day漏洞和3個關鍵遠程代碼執行漏洞。分別是CVE-2023-20588AMD Speculative Leaks、CVE-2023-35628Windows MSHTML平臺遠程代碼執行漏洞、CVE-2023-35641和CVE-2023-35630 Internet連接共享(ICS)遠程代碼執行漏洞、CVE-2023-36019 Microsoft Power Platform連接器欺騙漏洞。


      經亞信安全CERT專家研判,列出如下部分值得關注的漏洞:


      1、Windows MSHTML平臺遠程代碼執行漏洞(CVE-2023-35628)


      Windows MSHTML平臺遠程代碼執行漏洞,漏洞編號為CVE-2023-35628,該漏洞評分:8.1,風險等級:重要,目前未公開,未發現在野利用。


      Windows MSHTML 是一種瀏覽器引擎,用于呈現經常連接到 Internet Explorer 的網頁。盡管 Internet Explorer (IE) 11 桌面應用程序已終止支持,但 MSHTML 漏洞至今仍然存在,并且 Microsoft 正在對其進行修補。攻擊者可以通過發送特制電子郵件來利用此漏洞,該電子郵件在 Outlook 客戶端檢索和處理時觸發。即使在預覽窗格中查看電子郵件之前,該漏洞也可能被利用。成功利用該漏洞,攻擊者將在目標機器上進行代碼執行,而無需任何用戶交互。


      2、Internet連接共享(ICS)遠程代碼執行漏洞(CVE-2023-35641)


      Internet連接共享(ICS)遠程代碼執行漏洞,漏洞編號為CVE-2023-35641,該漏洞評分:8.8,風險等級:重要,目前未公開,未發現在野利用。


      Internet Connection Sharing網絡連接共享服務直接關系到系統無線網絡連接,為家庭和小型辦公網絡提供網絡地址轉換、尋址、名稱解析或入侵保護服務。這個服務對共享網絡比較重要,比如要共享無線,那么需要保持該服務開啟,如果禁用那么會出現Windows 共享無線上網無法啟動ICS服務的問題。攻擊者可以通過向運行 Internet 連接共享服務的服務器發送特制的 DHCP 消息來利用此漏洞。成功利用該漏洞,將導致在同一網絡內的攻擊者進行遠程代碼執行。


      3、Microsoft Outlook信息泄露漏洞(CVE-2023-35636)


      Microsoft Outlook信息泄露漏洞,漏洞編號為CVE-2023-35636,該漏洞評分:6.5,風險等級:重要,目前未公開,未發現在野利用。


      Microsoft Outlook是美國微軟(Microsoft)公司的一套電子郵件應用程序。成功利用該漏洞將導致NTLM哈希的泄露,這可能會被用作NTLM中繼或“傳遞哈希”攻擊的一部分,使得攻擊者可以偽裝成合法用戶而無需登錄。


      漏洞編號

      • CVE-2023-20588

      • CVE-2023-21740

      • CVE-2023-35619

      • CVE-2023-35621

      • CVE-2023-35622

      • CVE-2023-35624

      • CVE-2023-35625

      • CVE-2023-35628

      • CVE-2023-35629

      • CVE-2023-35630

      • CVE-2023-35631

      • CVE-2023-35632

      • CVE-2023-35633

      • CVE-2023-35634

      • CVE-2023-35635

      • CVE-2023-35636

      • CVE-2023-35638

      • CVE-2023-35639

      • CVE-2023-35641

      • CVE-2023-35642

      • CVE-2023-35643

      • CVE-2023-35644

      • CVE-2023-36003

      • CVE-2023-36004

      • CVE-2023-36005

      • CVE-2023-36006

      • CVE-2023-36009

      • CVE-2023-36010

      • CVE-2023-36011

      • CVE-2023-36012

      • CVE-2023-36019

      • CVE-2023-36020

      • CVE-2023-36391

      • CVE-2023-36696



      受影響的產品

      • Windows Media

      • Microsoft Edge (Chromium-based)

      • Microsoft Office Outlook

      • Microsoft Dynamics

      • Microsoft Windows DNS

      • Azure Connected Machine Agent

      • Azure Machine Learning

      • Windows MSHTML Platform

      • Windows USB Mass Storage Class Driver

      • Windows Internet Connection Sharing (ICS)

      • Windows Win32K

      • Windows Kernel

      • Microsoft Bluetooth Driver

      • Windows DHCP Server

      • Windows ODBC Driver

      • Windows Kernel-Mode Drivers

      • XAML Diagnostics

      • Windows DPAPI (Data Protection Application Programming Interface)

      • Windows Telephony Server

      • Microsoft WDAC OLE DB provider for SQL

      • Microsoft Office Word

      • Windows Defender

      • Microsoft Power Platform Connector

      • Windows Local Security Authority Subsystem Service (LSASS)

      • Windows Cloud Files Mini Filter Driver


      亞信安全CERT建議


      1、Windows 自動更新

      Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。

      • 點擊“開始菜單”或按Windows快捷鍵,點擊進入“設置”

      • 選擇“更新和安全”,進入“Windows更新”(可通過控制面板進入“Windows更新”,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)

      • 選擇“檢查更新”,等待系統將自動檢查并下載可用更新。

      • 重啟計算機。安裝更新系統重新啟動后,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。


      2、手動安裝更新

      對于部分不能自動更新的系統版本和應用程序,可前往Microsoft官方下載相應補丁進行更新。


      下載鏈接:

      https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul


      參考鏈接


      https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec


      分享到微信
      X