CVE-2023-28252 等

Microsoft 日前推出 2023 年 4 月例行資安更新修補包「Patch Tuesday」，共修復多達 97 個資安漏洞，其中有 7 個是屬於「嚴重」(Critical) 危險程度的漏洞，另有 1 個 0-day 漏洞也獲得修復，這些漏洞已知遭用於攻擊活動。

本月 Patch Tuesday 修復的漏洞數量較上個月（2023 年 3 月）的 83 個資安漏洞多了不少，達 97 個；其中 7 個屬於嚴重等級的漏洞，分類上全部屬於遠端執行任意程式碼類型，也是各種軟體漏洞中危害最大的一類。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：20 個；
• 資安防護功能略過漏洞：8 個；
• 遠端執行任意程式碼漏洞：45 個；
• 資訊洩露漏洞：10 個；
• 服務阻斷（Denial of Service）漏洞：9 個；
• 假冒詐騙漏洞：9 個。

本月修復的 0-day 漏洞共有 1 個，是 CVE 編號為 CVE-2023-28252 的 Windows Common Log File System Driver 漏洞，屬於權限提升 (Elevation of Privilege) 漏洞。Microsoft 指出，駭侵者可以透過這個漏洞，取得最高等級的系統執行權限。該漏洞的CVSS 危險程度評分高達 7.8 分（滿分為 10 分），其危險程度評級為「高」（High）等級。微軟亦在更新通報中指出，已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。

Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。

建議系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。