_06_2023.04.12_Microsoft_推出_2023_年_4_月_Patch_Tuesday_每月例行更新修補包,共修復_97_個資安漏洞,內含_1_個_0-day_漏洞

Microsoft 日前推出 2023 年 4 月例行資安更新修補包「Patch Tuesday」,共修復多達 97 個資安漏洞,其中有 7 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 1 個 0-day 漏洞也獲得修復,這些漏洞已知遭用於攻擊活動。

本月 Patch Tuesday 修復的漏洞數量較上個月(2023 年 3 月)的 83 個資安漏洞多了不少,達 97 個;其中 7 個屬於嚴重等級的漏洞,分類上全部屬於遠端執行任意程式碼類型,也是各種軟體漏洞中危害最大的一類。

以漏洞類型來區分,這次修復的資安漏洞與分類如下:

  • 權限提升漏洞:20 個;
  • 資安防護功能略過漏洞:8 個;
  • 遠端執行任意程式碼漏洞:45 個;
  • 資訊洩露漏洞:10 個;
  • 服務阻斷(Denial of Service)漏洞:9 個;
  • 假冒詐騙漏洞:9 個。

本月修復的 0-day 漏洞共有 1 個,是 CVE 編號為 CVE-2023-28252 的 Windows Common Log File System Driver 漏洞,屬於權限提升 (Elevation of Privilege) 漏洞。Microsoft 指出,駭侵者可以透過這個漏洞,取得最高等級的系統執行權限。該漏洞的CVSS 危險程度評分高達 7.8 分(滿分為 10 分),其危險程度評級為「高」(High)等級。微軟亦在更新通報中指出,已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。

  • CVE 編號:CVE-2023-28252 等
  • 影響產品:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
  • 解決方案:建議系統管理者與 Microsoft 用戶應立即依照指示,以最快速度套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。
     
  • 參考連結

Security Update Guide
https://msrc.microsoft.com/update-guide/

Windows Common Log File System Driver Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

Microsoft April 2023 Patch Tuesday fixes 1 zero-day, 97 flaws
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2023-patch-tuesday-fixes-1-zero-day-97-flaws/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Microsoft Patch Tuesday 資安漏洞 修補
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄