微软披露新零日漏洞及其他关键安全更新

关键要点

微软本月Patch Tuesday更新披露74个漏洞，包括1个被积极利用的零日漏洞和6个被评为关键的缺陷。针对上个月披露的一个远程代码执行RCE零日漏洞，微软发布了修补程序。安全专家表示，漏洞数量创下近年来新高，但关键漏洞比例相对较低。

微软近日披露了本月Patch Tuesday更新中的74个漏洞，其中包括1个正被积极利用的零日漏洞和6个被评为关键的缺陷。此外，微软还对上个月所披露的一个远程代码执行零日漏洞发布了修复补丁。

黑洞加速器下载官网

Trend Micro的Zero Day Initiative负责人Dustin Childs在一篇博客文章中指出：“此次发布的漏洞修复量是近几年来最高的，虽然在每年Black Hat USA会议之前，微软发布大量补丁也并不罕见。”今年的Black Hat大会正在拉斯维加斯举行。

Childs还提到，这次发布的关键缺陷比例相对较低，并猜测微软可能因为其他安全问题而“分心”。

过去一个月中，微软受到质疑，美国商务部长吉娜雷蒙多及其他高官的邮件被中国国家资助的黑客攻击。Tenable的首席执行官Amit Yoran将其定性为“极其不负责任”，因为该漏洞的完全修复耗时超过四个月。

本月唯一一个正被积极利用的新零日漏洞是NET和Microsoft Visual Studio中的拒绝服务漏洞，追踪编号为CVE202338180。

“尽管当前关于此问题的信息较少，但微软表示攻击复杂性为‘低’，攻击者无需任何用户权限或互动即可进行利用，”Cisco Talos的Jonathan Munshaw和Vanja Svajcer在一篇博客文章中表示。

关于上个月Patch Tuesday中首次披露的那个零日漏洞的新修补程序，与一个导致对七月立陶宛北约峰会与会者进行攻击的RCE缺陷有关。

Rapid7的首席软件工程师Adam Barnett在博客文章中表示，许多安全团队对此零日漏洞编号为CVE202336884未能在上个月得到修复感到“可以理解的担忧”。

“值得高兴的是，2023年8月的Windows更新通过为每个当前版本的Windows提供补丁，缓解了CVE202336884带来的问题，”他写道。

Barnett还提到，微软已更改了对该漏洞的描述，之前称其为Office和Windows HTML RCE漏洞。

“微软现在表示，该漏洞实际上涉及Windows搜索安全旁路，涉及Mark of the Web (MOTW)的移除，导致在受害者系统上执行代码。”

在微软评为关键的六个新漏洞中，有两个是影响Microsoft Teams的RCE漏洞，若受害者加入了攻击者创建的Teams会议，将可能允许攻击者执行代码。

“鉴于Teams不仅在组织内广泛使用，还用于组织外部的协作这些漏洞当然应该立即引起 remediation 关注，”Barnett说道。

三个关键的RCE漏洞影响了Windows消息队列服务MSMQ，该协议用于连接在不同服务器或进程上运行的应用程序。

最后一个关键漏洞是影响Microsoft Outlook的缺陷，只要攻击者能够说服受害者打开一个特殊制作的恶意文件，就有可能执行代码。