五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

服務(wù)公告

全部公告 > 安全公告 > 微軟2023年10月份月度安全漏洞預(yù)警

微軟2023年10月份月度安全漏洞預(yù)警

2023-10-11

一、概要

近日,華為云關(guān)注到微軟發(fā)布2023年10月份安全補(bǔ)丁更新,共披露了104個(gè)安全漏洞,其中12個(gè)漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、拒絕服務(wù)等。受影響的應(yīng)用包括:Microsoft Windows、Microsoft Office 、Microsoft Exchange Server、.NET等組件。

微軟官方說明:

https://msrc.microsoft.com/update-guide/releaseNote/2023-Oct

本次用戶需關(guān)注如下存在細(xì)節(jié)已公開/已出現(xiàn)在野攻擊利用的漏洞:

Microsoft Word 信息泄露漏洞(CVE-2023-36563):0day漏洞,未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者通過誘導(dǎo)目標(biāo)用戶打開特制的文件觸發(fā)漏洞,成功利用該漏洞可導(dǎo)致受害者的NTLM 哈希值泄露。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Skype for Business 特權(quán)提升漏洞(CVE-2023-41763):0day漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過向目標(biāo) Skype for Business 服務(wù)器發(fā)送特制的網(wǎng)絡(luò)調(diào)用來利用此漏洞。成功利用該漏洞將導(dǎo)致敏感信息泄露,這些信息可用于訪問內(nèi)部網(wǎng)絡(luò)。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

HTTP/2 協(xié)議拒絕服務(wù)漏洞(CVE-2023-44487):0day漏洞,該漏洞允許攻擊者針對(duì) HTTP/2 服務(wù)器發(fā)起 DDoS 攻擊。通過特殊構(gòu)造的HTTP/2 請(qǐng)求在可幾秒鐘內(nèi)觸發(fā)較高的CPU使用率,如果構(gòu)造足夠數(shù)量的特殊并發(fā)請(qǐng)求,可能導(dǎo)致服務(wù)器拒絕服務(wù)。目前已發(fā)現(xiàn)被廣泛利用,風(fēng)險(xiǎn)較高。

本月官方標(biāo)記為更有可能被利用的漏洞有11個(gè)(如:CVE-2023-36778、CVE-2023-36594、CVE-2023-36731等),詳情請(qǐng)查看官方公告,華為云提醒用戶及時(shí)安全自檢并做好安全加固以降低被攻擊的風(fēng)險(xiǎn)。

二、漏洞級(jí)別

漏洞級(jí)別:【嚴(yán)重】

(說明:漏洞級(jí)別共四級(jí):一般、重要、嚴(yán)重、緊急)

三、影響范圍

Microsoft Windows、Microsoft Office 、Microsoft Exchange Server、.NET等產(chǎn)品。 

四、重要漏洞說明詳情

CVE編號(hào)

漏洞名稱

嚴(yán)重程度

漏洞描述

CVE-2023-36718

Microsoft 虛擬受信任的平臺(tái)模塊遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

成功利用此漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

CVE-2023-41773

CVE-2023-41771

CVE-2023-41770

CVE-2023-41768

CVE-2023-41767

CVE-2023-38166

CVE-2023-41774

CVE-2023-41769

CVE-2023-41765

第二層隧道協(xié)議遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

未經(jīng)身份驗(yàn)證的攻擊者通過向RAS 服務(wù)器發(fā)送特制的連接請(qǐng)求觸發(fā)漏洞,成功利用漏洞可導(dǎo)致在RAS服務(wù)器上執(zhí)行遠(yuǎn)程代碼。

CVE-2023-35349

CVE-2023-36697

Microsoft 消息隊(duì)列遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

經(jīng)過身份驗(yàn)證的攻擊者誘導(dǎo)目標(biāo)服務(wù)器上的用戶連接到惡意服務(wù)器或損害合法的MSMQ服務(wù)器主機(jī)并使其作為惡意服務(wù)器運(yùn)行。成功利用此漏洞可導(dǎo)致在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行代碼。

(注:以上為嚴(yán)重漏洞,其他漏洞及詳情請(qǐng)參見微軟官方說明) 

五、安全建議

1、可通過Windows Update自動(dòng)更新微軟補(bǔ)丁修復(fù)漏洞,也可以手動(dòng)下載補(bǔ)丁,補(bǔ)丁下載地址:

https://msrc.microsoft.com/update-guide

2、為確保數(shù)據(jù)安全,建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意:修復(fù)漏洞前請(qǐng)將資料備份,并進(jìn)行充分測(cè)試。