微软6月补丁星期二值得关注的漏洞
编译:代码卫士
微软在6月补丁星期二共发布69个补丁,修复了多款产品中的漏洞,另外由第三方此前发布的25个CVE漏洞也收录到安全更新指南中。
在这些漏洞中,6个被评级为“严重”,62个被评级为“重要”,以及一个被评级为“中危”。这些漏洞均未被列为公开已知或已遭活跃利用。如下是一些值得关注的漏洞。
CVE-2023-32031:微软 Exchange Server远程代码执行漏洞
该漏洞是对 CVE-2022-41082和CVE-2023-21529的绕过。CVE-2022-41082被列为已遭活跃利用,它位于 Command 类中,是因缺乏对用户所提供数据缺乏正确验证造成的,可导致不受信任数据反序列化后果。虽然利用该漏洞要求攻击者在 Exchange 服务器上拥有账户,但成功利用可导致以系统权限执行代码。
CVE-2023-29357:微软 SharePoint Server提权漏洞
该漏洞是在3月 Pwn2Own 温哥华大赛时被组合利用的漏洞之一。攻击者可通过 ValidateTokenIssuer 方法中的一个缺陷,利用该漏洞绕过认证。微软建议启用 AMSI 特性缓解该漏洞。建议用户尽快测试并部署该更新。
CVE-2023-29363/32014/32015:Windows PGM 远程代码执行漏洞
这三个漏洞的CVSS评分均为9.8,可导致远程未认证攻击者在有消息队列服务在 PGM Server 环境中运行的受影响系统上执行代码。这是微软连续第三个月修复的又一个严重的 PGM 漏洞。虽然并非默认启用,但 PGM 并非不常见的配置。希望这些漏洞能在遭活跃利用前被修复。
CVE-2023-3079:Chromium V8 中的类型混淆漏洞
该漏洞被列为遭活跃利用的漏洞。它是位于 Chrome 中的一个类型混淆漏洞,可导致以已登录用户身份执行代码。它也是今年遭活跃利用的第二个混淆漏洞。
https://www.zerodayinitiative.com/blog/2023/6/13/the-june-2023-security-update-review
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。