查看原文
其他

微软6月补丁星期二值得关注的漏洞

ZDI 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



微软在6月补丁星期二共发布69个补丁,修复了多款产品中的漏洞,另外由第三方此前发布的25个CVE漏洞也收录到安全更新指南中。


在这些漏洞中,6个被评级为“严重”,62个被评级为“重要”,以及一个被评级为“中危”。这些漏洞均未被列为公开已知或已遭活跃利用。如下是一些值得关注的漏洞。

CVE-2023-32031:微软 Exchange Server远程代码执行漏洞

该漏洞是对 CVE-2022-41082和CVE-2023-21529的绕过。CVE-2022-41082被列为已遭活跃利用,它位于 Command 类中,是因缺乏对用户所提供数据缺乏正确验证造成的,可导致不受信任数据反序列化后果。虽然利用该漏洞要求攻击者在 Exchange 服务器上拥有账户,但成功利用可导致以系统权限执行代码。

CVE-2023-29357:微软 SharePoint Server提权漏洞

该漏洞是在3月 Pwn2Own 温哥华大赛时被组合利用的漏洞之一。攻击者可通过 ValidateTokenIssuer 方法中的一个缺陷,利用该漏洞绕过认证。微软建议启用 AMSI 特性缓解该漏洞。建议用户尽快测试并部署该更新。

CVE-2023-29363/32014/32015:Windows PGM 远程代码执行漏洞

这三个漏洞的CVSS评分均为9.8,可导致远程未认证攻击者在有消息队列服务在 PGM Server 环境中运行的受影响系统上执行代码。这是微软连续第三个月修复的又一个严重的 PGM 漏洞。虽然并非默认启用,但 PGM 并非不常见的配置。希望这些漏洞能在遭活跃利用前被修复。

CVE-2023-3079:Chromium V8 中的类型混淆漏洞

该漏洞被列为遭活跃利用的漏洞。它是位于 Chrome 中的一个类型混淆漏洞,可导致以已登录用户身份执行代码。它也是今年遭活跃利用的第二个混淆漏洞。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

洞少事大:微软5月补丁星期二需关注的漏洞

微软四月补丁星期二值得关注的漏洞

微软3月补丁星期二值得关注的漏洞

2月微软补丁星期二值得关注的漏洞



原文链接

https://www.zerodayinitiative.com/blog/2023/6/13/the-june-2023-security-update-review


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存