最后更新于2023年12月15日(星期五)20:50:24 GMT
微软将在今年12月解决34个漏洞 星期二补丁, 包括一个零日漏洞和三个关键的远程代码执行(RCE)漏洞. 从历史上看,12月补丁星期二的补丁数量比一般月份要少, 这一趋势将在2023年继续. 这个总数不包括本月早些时候发布的8个浏览器漏洞. 在撰写本文时,今天修补的漏洞尚未添加到CISA KEV列表中.
某些AMD处理器:零日信息泄露
本月唯一的零日漏洞是 cve - 2023 - 20588,它描述了由于……的缺陷而可能导致的信息泄露 某些AMD处理器型号 如AMD公告所列. AMD表示,在这些处理器模型上除以零可能会返回推测数据. AMD believes the potential impact of the vulnerability is low since local access is required; however, 微软在其专有的严重性等级中将严重性列为重要级别. 在所有支持的Windows版本中,该漏洞都在操作系统级别进行了修补, 甚至早在Windows Server 2008 azure托管资产参与扩展安全更新(ESU)计划.
展望:无交互的临界RCE
cve - 2023 - 35628 描述了Outlook仍在使用的MSHTML专有浏览器引擎中的一个严重的RCE漏洞, 等, 呈现HTML内容. 特别值得注意的是:最令人担忧的利用场景导致一旦Outlook检索并处理特制的恶意电子邮件就会被利用. This means that exploitation could occur before the user interacts with the email in any way; not even the Preview Pane is required in this scenario. 其他攻击媒介也存在:用户也可以点击通过电子邮件收到的恶意链接, 即时消息, 或者其他媒介. Assets where Internet Explorer 11 has been fully disabled are still vulnerable until patched; the MSHTML engine remains installed within Windows regardless of the status of IE11.
Internet连接共享:关键RCE
本月还发布了针对Internet连接共享中两个关键RCE漏洞的补丁. cve - 2023 - 35630 和 cve - 2023 - 35641 有许多相似之处:一个基本的CVSS v3.1分8分.8, 微软临界严重性排名, 低攻击复杂度, 并且可能在目标机器上的SYSTEM上下文中执行, 尽管通知不指定执行上下文. 但是,对开发方法的描述在两者之间确实有所不同.
cve - 2023 - 35630 requires the attacker to modify an option->length field in a DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST input message. 开发 cve - 2023 - 35641 也可以通过恶意制作的DHCP消息发送到ICS服务器, 但该报告没有给出进一步的线索.
大致相似 2023年9月的ICS漏洞 导致了ICS服务器上SYSTEM上下文中的RCE. 在这三种情况下, 一个缓解因素是要求攻击从与ICS服务器相同的网段发起. It seems improbable that either of this month’s ICS vulnerabilities are exploitable against a target on which ICS is not running; Microsoft did not explicitly deny the possibility, 但随后对该建议的更新 cve - 2023 - 35641 是否澄清利用需要启用ICS.
假日季更新
值得注意的是,本月没有针对Exchange、SharePoint和Visual Studio/的安全补丁.. NET或SQL Server. 本月微软产品也没有生命周期转换, 尽管从2024年1月开始,许多Windows Server 2019版本和Office组件将从主流支持过渡到扩展支持.
总结图表
汇总表
Azure的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 35624 | Azure连接机器代理权限提升漏洞 | No | No | 7.3 |
| cve - 2023 - 35625 | 针对SDK用户信息泄露漏洞的Azure机器学习计算实例 | No | No | 4.7 |
浏览器的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 35618 | Microsoft Edge(基于chromium)特权提升漏洞 | No | No | 9.6 |
| cve - 2023 - 36880 | Microsoft Edge(基于chromium)信息泄露漏洞 | No | No | 4.8 |
| cve - 2023 - 38174 | Microsoft Edge(基于chromium)信息泄露漏洞 | No | No | 4.3 |
| cve - 2023 - 6512 | Chromium: cve - 2023 - 6512在Web浏览器UI中不适当的实现 | No | No | N/A |
| cve - 2023 - 6511 | Chromium: cve - 2023 - 6511在自动填充中不适当的实现 | No | No | N/A |
| cve - 2023 - 6510 | Chromium: cve - 2023 - 6510免费后在Media Capture中使用 | No | No | N/A |
| cve - 2023 - 6509 | 铬:cve - 2023 - 6509在侧板搜索中免费使用 | No | No | N/A |
| cve - 2023 - 6508 | Chromium: cve - 2023 - 6508在媒体流中免费后使用 | No | No | N/A |
ESU Windows漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 36006 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2023 - 35639 | 微软ODBC驱动程序远程代码执行漏洞 | No | No | 8.8 |
| cve - 2023 - 35641 | Internet连接共享(ICS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2023 - 35630 | Internet连接共享(ICS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2023 - 35628 | Windows MSHTML平台远程代码执行漏洞 | No | No | 8.1 |
| cve - 2023 - 21740 | Windows Media远程代码执行漏洞 | No | No | 7.8 |
| cve - 2023 - 35633 | Windows内核特权提升漏洞 | No | No | 7.8 |
| cve - 2023 - 35632 | WinSock特权提升漏洞的Windows辅助功能驱动程序 | No | No | 7.8 |
| cve - 2023 - 36011 | Win32k特权提升漏洞 | No | No | 7.8 |
| cve - 2023 - 36005 | Windows phone服务器特权提升漏洞 | No | No | 7.5 |
| cve - 2023 - 36004 | Windows DPAPI(数据保护应用程序编程接口)欺骗漏洞 | No | No | 7.5 |
| cve - 2023 - 35622 | Windows DNS欺骗漏洞 | No | No | 7.5 |
| cve - 2023 - 35643 | DHCP服务器服务信息泄露漏洞 | No | No | 7.5 |
| cve - 2023 - 35638 | DHCP服务器拒绝服务漏洞 | No | No | 7.5 |
| cve - 2023 - 35629 | 微软USBHUB 3.0设备驱动程序远程代码执行漏洞 | No | No | 6.8 |
| cve - 2023 - 35642 | Internet连接共享(ICS)拒绝服务漏洞 | No | No | 6.5 |
| cve - 2023 - 36012 | DHCP服务器服务信息泄露漏洞 | No | No | 5.3 |
| cve - 2023 - 20588 | AMD: cve - 2023 - 20588 AMD投机性泄漏安全通知 | No | 是的 | N/A |
Microsoft Dynamics漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 36020 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 | No | No | 7.6 |
| cve - 2023 - 35621 | 微软Dynamics 365财务和运营拒绝服务漏洞 | No | No | 7.5 |
Microsoft Dynamics Azure漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 36019 | Microsoft Power平台连接器欺骗漏洞 | No | No | 9.6 |
Microsoft Office漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 35636 | Microsoft Outlook信息泄露漏洞 | No | No | 6.5 |
| cve - 2023 - 36009 | Microsoft Word信息泄露漏洞 | No | No | 5.5 |
| cve - 2023 - 35619 | Microsoft Outlook for Mac欺骗漏洞 | No | No | 5.3 |
System Center漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 36010 | 微软防御拒绝服务漏洞 | No | No | 7.5 |
Windows操作系统漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2023 - 35634 | Windows蓝牙驱动程序远程代码执行漏洞 | No | No | 8 |
| cve - 2023 - 35644 | Windows系统服务特权提升 | No | No | 7.8 |
| cve - 2023 - 36696 | Windows Cloud Files迷你过滤器驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2023 - 35631 | Win32k特权提升漏洞 | No | No | 7.8 |
| cve - 2023 - 36391 | 本地安全授权子系统服务特权提升漏洞 | No | No | 7.8 |
| cve - 2023 - 36003 | XAML诊断特权提升漏洞 | No | No | 6.7 |
| cve - 2023 - 35635 | Windows内核拒绝服务漏洞 | No | No | 5.5 |
更新
- 2023-12-14微软更新了该建议 cve - 2023 - 35641 以确认必须启用ICS才能使利用成为可能.
