微软披露新零日漏洞及其他关键安全更新

关键要点

微软近日披露了本月PatchTuesday更新中的74个漏洞，其中包括1个正被积极利用的零日漏洞和6个被评为关键的缺陷。此外，微软还对上个月所披露的一个远程代码执行零日漏洞发布了修复补丁。

Trend Micro的Zero Day Initiative负责人DustinChilds在一篇中指出：“此次发布的漏洞修复量是近几年来最高的，虽然在每年Black HatUSA会议之前，微软发布大量补丁也并不罕见。”今年的正在拉斯维加斯举行。

Childs还提到，这次发布的关键缺陷比例相对较低，并猜测微软可能因为其他安全问题而“分心”。

过去一个月中，微软受到质疑，的邮件被中国国家资助的黑客攻击。Tenable的首席执行官AmitYoran将其定性为“极其不负责任”，因为该漏洞的完全修复耗时超过四个月。

本月唯一一个正被积极利用的新零日漏洞是.NET和Microsoft VisualStudio中的拒绝服务漏洞，追踪编号为。

“尽管当前关于此问题的信息较少，但微软表示攻击复杂性为‘低’，攻击者无需任何用户权限或互动即可进行利用，”Cisco Talos的JonathanMunshaw和Vanja Svajcer在一篇中表示。

关于上个月Patch Tuesday中首次披露的那个零日漏洞的新修补程序，与一个导致对七月立陶宛北约峰会与会者进行攻击的RCE缺陷有关。

Rapid7的首席软件工程师AdamBarnett在中表示，许多安全团队对此零日漏洞（编号为）未能在上个月得到修复感到“可以理解的担忧”。

“值得高兴的是，2023年8月的Windows更新通过为每个当前版本的Windows提供补丁，缓解了CVE-2023-36884带来的问题，”他写道。

Barnett还提到，微软已更改了对该漏洞的描述，之前称其为Office和Windows HTML RCE漏洞。

“微软现在表示，该漏洞实际上涉及Windows搜索安全旁路，涉及Mark of the Web (MOTW)的移除，导致在受害者系统上执行代码。”

在微软评为关键的六个新漏洞中，有两个是影响Microsoft Teams的RCE漏洞，若受害者加入了攻击者创建的Teams会议，将可能允许攻击者执行代码。

“鉴于Teams不仅在组织内广泛使用，还用于组织外部的协作……这些漏洞当然应该立即引起 remediation 关注，”Barnett说道。

三个关键的RCE漏洞影响了Windows消息队列服务（MSMQ），该协议用于连接在不同服务器或进程上运行的应用程序。

最后一个关键漏洞是影响Microsoft Outlook的缺陷，只要攻击者能够说服受害者打开一个特殊制作的恶意文件，就有可能执行代码。