微软今年年底的补丁数量相对较少,针对34个漏洞发布了更新,其中包括8月份首次报道的一个零日漏洞。
CVE-2023-20588是一个影响特定AMD处理器的零除漏洞,可能会潜在地返回推测数据,导致机密性丧失。
微软在周二补丁更新中解决了这个漏洞,因为最新的Windows版本支持缓解和保护。在其他地方,微软本月只列出了四个关键漏洞。
CVE-2023-35628是一个Windows MSHTML平台远程代码执行(RCE)漏洞,CVSS评分为8.1。
Action1总裁迈克·沃尔特斯解释说:“利用这个漏洞,攻击者可能会通过电子邮件向受害者发送恶意链接,或者通过欺骗手段说服用户点击链接,比如电子邮件或即时消息中的诱饵。”
在一个特别严重的电子邮件攻击场景中,攻击者可能会发送一封包含特制链接的电子邮件,该链接允许在受害者的计算机上远程执行代码,甚至在打开电子邮件或点击链接之前,包括在预览窗格中查看电子邮件时。
CVE-2023-35641和CVE-2023-35630是互联网连接共享(ICS)中的两个关键RCE漏洞,它们的CVSS评分都为8.8。
沃尔特斯说:“这些攻击的范围仅限于与攻击者在同一网段上的系统,这意味着它们不能跨多个网络进行,例如广域网。攻击仅限于位于同一网络交换机上或同一虚拟网络内的系统。”
最后,CVE-2023-36019是Microsoft Power Platform的一个关键漏洞。它使攻击者能够通过使恶意链接或文件看起来像合法链接或文件来欺骗用户。它的复杂性也很低,不需要系统特权,这就是为什么它的CVSS分数是9.6。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
