• 發布單位:TWCERT/CC
• 更新日期:2023-06-15
• 點閱次數:7142

Microsoft 日前推出 2023 年 6 月例行資安更新修補包「Patch Tuesday」，共修復 78 個資安漏洞；特別的是其中含有 38 個屬於遠端執行任意程式碼（RCE）的漏洞。

本月 Patch Tuesday 修復的漏洞數量有 78 個，較上個月（2023 年 5 月）的 38 個資安漏洞增加許多；而在這 78 個漏洞中有多達 38 個屬於遠端執行任意程式碼類型，其中有 6 個的危險程度評級達到「嚴重」等級（Critical）。

這次的 Patch Tuesday 也是自 2022 年 3 月以來，首次沒有任何 0-day 漏洞的例行性更新。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：17 個；
• 資安防護功能略過漏洞：3 個；
• 遠端執行任意程式碼漏洞：32 個；
• 資訊洩露漏洞：5 個；
• 服務阻斷（Denial of Service）漏洞：10 個；
• 假冒詐騙漏洞：10 個；
• Edge -Chromium 漏洞：1 個。

雖然本月的 Patch Tuesday 沒有任何已遭大規模濫用的 0-day 漏洞，但仍有幾個值得用戶注意，可能已遭駭侵者用於攻擊的漏洞如下：

第一個是 CVE 編號為 CVE-2023-29357 的 Microsoft SharePoint Server 權限提升漏洞；該漏洞存於 Microsoft SharePoint 之中，可讓駭侵者將自身執行權限提升到任何用戶等級，包括管理員等級在內。

第二個值得注意的漏洞是 CVE-2023-32031，是存於 Microsoft Exchange Server 中的遠端執行任意程式碼漏洞。

• CVE 編號：CVE-2023-29357、CVE-2023-32031等
• 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。
• 解決方案：建議系統管理者與 Microsoft 用戶應立即依照指示，盡速套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。