Microsoft 推出 2023 年 12 月 Patch Tuesday 每月例行更新修補包,共修復 34 個資安漏洞,內含 1 個 0-day 漏洞
- 發布單位:TWCERT/CC
- 更新日期:2023-12-27
- 點閱次數:14215
Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」,共修復 34 個資安漏洞;其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量僅有 34 個,較上個月(2023 年 11 月)的 58 個資安漏洞大為減少;而在這 34 個漏洞中,僅有 4 個屬於「嚴重」等級,另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
- 執行權限提升漏洞:10 個;
- 遠端執行任意程式碼漏洞:8 個;
- 資訊洩露漏洞:6 個;
- 服務阻斷(Denial of Service)漏洞:5 個;
- 假冒詐騙漏洞:5 個。
上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞,並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞;而本月共解決了一個 1 個 0-day 漏洞如下:
該 0-day 漏洞是 CVE 編號為 CVE-2023-20588,存於特定 AMD 處理器中的除以 0 錯誤,可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復,僅提供建議給開發者,以避免誘發此漏洞;而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。
此外,本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞,其中一個存於 Power Platform 中,屬於假冒詐騙漏洞,兩個存於 Internet Connection Sharing 中,屬於遠端執行任意程式碼漏洞,另一個存於 Windows MSHTML Platform 中,亦屬於遠端執行任意程式碼漏洞。
- CVE 編號:CVE-2023-20588 等
- 影響產品:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
- 解決方案:系統管理者與 Microsoft 用戶應立即依照指示,以最快速度套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。