close

_16_2023.12.13_Microsoft_推出_2023_年_12_月_Patch_Tuesday_每月例行更新修補包,共修復_34_個資安漏洞,內含_1_個_0-day_漏洞

Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」,共修復 34 個資安漏洞;其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量僅有 34 個,較上個月(2023 年 11 月)的 58 個資安漏洞大為減少;而在這 34 個漏洞中,僅有 4 個屬於「嚴重」等級,另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分,這次修復的資安漏洞與分類如下:

  • 執行權限提升漏洞:10 個;
  • 遠端執行任意程式碼漏洞:8 個;
  • 資訊洩露漏洞:6 個;
  • 服務阻斷(Denial of Service)漏洞:5 個;
  • 假冒詐騙漏洞:5 個。

上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞,並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞;而本月共解決了一個 1 個 0-day 漏洞如下:

該 0-day 漏洞是 CVE 編號為 CVE-2023-20588,存於特定 AMD 處理器中的除以 0 錯誤,可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復,僅提供建議給開發者,以避免誘發此漏洞;而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。

此外,本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞,其中一個存於 Power Platform 中,屬於假冒詐騙漏洞,兩個存於 Internet Connection Sharing 中,屬於遠端執行任意程式碼漏洞,另一個存於 Windows MSHTML Platform 中,亦屬於遠端執行任意程式碼漏洞。

  • CVE 編號:CVE-2023-20588 等
  • 影響產品:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
  • 解決方案:系統管理者與 Microsoft 用戶應立即依照指示,以最快速度套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。
     
  • 參考連結

AMD:CVE-2023-20588 AMD 推測外洩安全性公告

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-20588

Microsoft December 2023 Patch Tuesday fixes 34 flaws, 1 zero-day

https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2023-patch-tuesday-fixes-34-flaws-1-zero-day/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()