Microsoft 日前推出 2023 年 8 月例行資安更新修補包「Patch Tuesday」，共修復 87 個資安漏洞；其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量有 87 個，較上個月（2023 年 7 月）的 132 個資安漏洞少了很多；而在這 87 個漏洞中，有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 23 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：18 個；
• 資安防護功能略過漏洞：3 個；
• 遠端執行任意程式碼漏洞：23 個；
• 資訊洩露漏洞：10 個；
• 服務阻斷（Denial of Service）漏洞：8 個；
• 假冒詐騙漏洞：12 個；
• Edge -Chromium 漏洞：12 個。

本月的 Patch Tuesday 有 2 個已遭大規模濫用的 0-day 漏洞：

第一個是 CVE 編號為 CVE-2023-36884 的 Microsoft Office Defense 遠端執行任意程式碼漏洞；該漏洞存可讓駭侵者跳過先前針對該漏洞發表過的資安更新，再次利用此漏洞來遠端執行任意程式碼。Microsoft 也指出該漏洞已遭一個名為 RomCom 的駭侵團體大規模用於攻擊。

第二個值得注意的漏洞是 CVE-2023-38180，是存於 Microsoft .Net 與 Visual Studio 的服務阻斷漏洞（Denial of Service, DoS）；不過 Microsoft 並未公開說明這個漏洞是否已遭用於攻擊，也沒有分享該漏洞的細節。

• CVE 編號：CVE-2023-36684、CVE-2023-38180
• 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。
• 解決方案：建議系統管理者與 Microsoft 用戶盡速依照指示，套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。
   
• 參考連結

Microsoft Office Defense in Depth Update

https://msrc.microsoft.com/update-guide/vulnerability/ADV230003

.NET and Visual Studio Denial of Service Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180

Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws

https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2023-patch-tuesday-warns-of-2-zero-days-87-flaws/