Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」，共修復多達 98 個資安漏洞，其中有 11 個是屬於「嚴重」(Critical) 危險程度的漏洞，另有 1 個 0-day 漏洞也獲得修復，該漏洞已知遭用於攻擊活動。

本月 Patch Tuesday 修復的漏洞數量眾多，是上個月（2022 年 12 月）49 個的兩倍之多；其中 11 個屬於嚴重等級的漏洞，分類上均為遠端執行任意程式碼、資安防護功能略過，以及執行權限提升類型。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：39 個；
• 資安防護功能略過漏洞：4 個；
• 遠端執行任意程式碼漏洞：33 個；
• 資訊洩露漏洞：10 個；
• 服務阻斷（Denial of Service）漏洞：10 個；
• 假冒詐騙漏洞：2 個。

本月修復的 0-day 漏洞，是 CVE 編號為 CVE-2023-21674 的 Windows 進階本機程序呼叫 (Advanced Local Procedure Call, ALPC) 漏洞，屬於執行權限提升漏洞。Microsoft 指出這是一個可自沙箱中逃出的漏洞，駭侵者可用以取得系統權限，並進一步執行駭侵攻擊。目前已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。

本月尚有 Adobe、Cisco、Citrix、Fortinet、Intel、SAP、Synology 等公司針對其軟硬體產品發布資安更新，供用戶進行更新。

• CVE 編號：CVE-2023-21674 等
• 影響產品資訊：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。
• 解決方案：建議系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。
   
• 參考連結

Security Update Guide

https://msrc.microsoft.com/update-guide/

Microsoft January 2023 Patch Tuesday fixes 98 flaws, 1 zero-day

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/