• 發布單位:TWCERT/CC
• 更新日期:2023-07-13
• 點閱次數:8351

Microsoft 日前推出 2023 年 7 月例行資安更新修補包「Patch Tuesday」，共修復 132 個資安漏洞；其中含有 6 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量有 132 個，較上個月（2023 年 6 月）的 78 個資安漏洞多了很多；而在這 132 個漏洞中有多達 6 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 37 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 權限提升漏洞：33 個；
• 資安防護功能略過漏洞：13 個；
• 遠端執行任意程式碼漏洞：37 個；
• 資訊洩露漏洞：19 個；
• 服務阻斷（Denial of Service）漏洞：22 個；
• 假冒詐騙漏洞：7 個；
• Edge -Chromium 漏洞：0 個。

本月的 Patch Tuesday 有 6 個已遭大規模濫用的 0-day 漏洞：

第一個是 CVE 編號為 CVE-2023-32046 的 Windows MSHTML Platform 權限提升漏洞；該漏洞存於 Windows MSHTML 系統之中，可讓駭侵者以 EMail 或惡意網站，透過特製的檔案將自身執行權限提升執行受影響軟體用戶相同的等級。

第二個值得注意的漏洞是 CVE-2023-32049，是存於 Microsoft SmartScreen中的資安防護功能略過漏洞。駭侵者可利用此漏洞，讓用戶自網路下載或開啟可能有資安風險的檔案時，系統不會顯示資安警訊提示。

• CVE 編號：CVE-2023-32046 等
• 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。
• 解決方案：建議系統管理者與 Microsoft 用戶依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。