按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Microsoft 推出 2023 年 12 月 Patch Tuesday 每月例行更新修補包,共修復 34 個資安漏洞,內含 1 個 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-12-27
  • 點閱次數:4615
Microsoft_推出_2023_年_12_月_Patch_Tuesday_每月例行更新修補包,共修復_34_個資安漏洞,內含_1_個_0-day_漏洞

Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」,共修復 34 個資安漏洞;其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量僅有 34 個,較上個月(2023 年 11 月)的 58 個資安漏洞大為減少;而在這 34 個漏洞中,僅有 4 個屬於「嚴重」等級,另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分,這次修復的資安漏洞與分類如下:

  • 執行權限提升漏洞:10 個;
  • 遠端執行任意程式碼漏洞:8 個;
  • 資訊洩露漏洞:6 個;
  • 服務阻斷(Denial of Service)漏洞:5 個;
  • 假冒詐騙漏洞:5 個。

上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞,並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞;而本月共解決了一個 1 個 0-day 漏洞如下:

該 0-day 漏洞是 CVE 編號為 CVE-2023-20588,存於特定 AMD 處理器中的除以 0 錯誤,可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復,僅提供建議給開發者,以避免誘發此漏洞;而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。

此外,本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞,其中一個存於 Power Platform 中,屬於假冒詐騙漏洞,兩個存於 Internet Connection Sharing 中,屬於遠端執行任意程式碼漏洞,另一個存於 Windows MSHTML Platform 中,亦屬於遠端執行任意程式碼漏洞。

  • CVE 編號:CVE-2023-20588 等
  • 影響產品:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
  • 解決方案:系統管理者與 Microsoft 用戶應立即依照指示,以最快速度套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。
回頁首