Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」，共修復 34 個資安漏洞；其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量僅有 34 個，較上個月（2023 年 11 月）的 58 個資安漏洞大為減少；而在這 34 個漏洞中，僅有 4 個屬於「嚴重」等級，另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 執行權限提升漏洞：10 個；
• 遠端執行任意程式碼漏洞：8 個；
• 資訊洩露漏洞：6 個；
• 服務阻斷（Denial of Service）漏洞：5 個；
• 假冒詐騙漏洞：5 個。

上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞，並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞；而本月共解決了一個 1 個 0-day 漏洞如下：

該 0-day 漏洞是 CVE 編號為 CVE-2023-20588，存於特定 AMD 處理器中的除以 0 錯誤，可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復，僅提供建議給開發者，以避免誘發此漏洞；而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。

此外，本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞，其中一個存於 Power Platform 中，屬於假冒詐騙漏洞，兩個存於 Internet Connection Sharing 中，屬於遠端執行任意程式碼漏洞，另一個存於 Windows MSHTML Platform 中，亦屬於遠端執行任意程式碼漏洞。

• CVE 編號：CVE-2023-20588 等
• 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。
• 解決方案：系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。
   
• 參考連結

AMD：CVE-2023-20588 AMD 推測外洩安全性公告

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-20588

Microsoft December 2023 Patch Tuesday fixes 34 flaws, 1 zero-day

https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2023-patch-tuesday-fixes-34-flaws-1-zero-day/