【原】微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁

微软 2023 年 3 月的补丁星期二更新正在推出，修复了一组80 个安全漏洞，其中两个已在野外被积极利用。这次微软发布漏洞日期，正好是Pi Day！

3 月 14 日 (3/14) 在世界各地庆祝圆周率日。Pi（希腊字母“ π ”）是数学中用来表示常数的符号——圆的周长与其直径的比——大约为 3.14159。Pi Day 是数学爱好者一年一度的机会，可以背诵 Pi 的无限数字，与朋友讨论数学，吃馅饼。 Pi 已计算到小数点后超过 50 万亿位。作为一个无理数和超越数，它会无限延续下去，没有重复，没有规律。虽然典型的计算只需要少数数字，但 pi 的无限性质使记忆和计算越来越多的数字成为一个有趣的挑战。

80 个错误中有 8 个被评为严重，71 个被评为重要，1 个严重程度被评为中等。除了最近几周这家科技巨头在其基于 Chromium 的 Edge 浏览器中修复的29 个缺陷之外，还进行了这些更新。

受到主动攻击的两个漏洞包括 Microsoft Outlook 权限提升漏洞（CVE-2023-23397，CVSS 评分：9.8）和 Windows SmartScreen 安全功能绕过漏洞（CVE-2023-24880，CVSS 评分：5.1）。

CVE-2023-23397 是“当攻击者发送带有扩展 MAPI 属性的消息时触发的，该消息带有 UNC 路径到威胁参与者控制的服务器上的 SMB (TCP 445) 共享，”微软在独立公告中表示。

威胁行为者可以通过发送特制电子邮件来利用此漏洞，并在 Windows 的 Outlook 客户端检索和处理时自动激活它。因此，这可能会导致在不需要任何用户交互的情况下甚至在预览窗格中查看消息之前就进行利用。

3 月份，Adobe 发布了八个补丁，解决了 Adobe Photoshop、Experience Manager、Dimension、Commerce、Substance 3D Stager、云桌面应用程序和 Illustrator 中的 105 个 CVE。通过 ZDI 程序报告了总共 77 个这些错误。这是一段时间以来最大的 Adobe 更新。Cold Fusion的补丁被列为处于活跃利用状态。它修复了三个错误，包括一个评级为 CVSS 9.8 的关键代码执行错误。此补丁也从 Adobe 获得了 1 的部署优先级。 Dimension的补丁是其中最大的一个，仅该补丁就解决了近 60 个 CVE。Substance 3D Stager的更新也修复了 16 个错误，其中许多错误可能导致任意代码执行。Experience Manager补丁修复了 18 个错误，包括多个跨站点脚本 (XSS) 和开放重定向。 Commerce补丁包括对未经身份验证的文件系统读取的修复。如果您正在使用该平台，这样的披露可能会付出高昂的代价。Photoshop和Illustrator的更新解决了许多可能导致代码在当前用户级别执行的错误。Creative Cloud的补丁修复了一个严重的代码执行错误。 Adobe 本月修复的其他错误在发布时均未被列为众所周知或受到积极攻击。除了 Cold Fusion 之外，Adobe 将这些更新归类为 3 级部署优先级。

微软将漏洞报告归功于乌克兰计算机应急响应小组 (CERT-UA)，并补充说它知道俄罗斯的威胁行为者对欧洲的政府、交通、能源和军事部门发起了“有限的有针对性的攻击”。

另一方面，CVE-2023-24880 涉及一个安全绕过漏洞，当打开从 Internet 下载的不受信任的文件时，可以利用该漏洞来逃避 Mark-of-the-Web (MotW) 保护。

这也是 Microsoft 为解决另一个 SmartScreen 绕过漏洞（ CVE-2022-44698 ，CVSS 评分：5.4）而发布的窄补丁的结果，该漏洞于去年曝光，并被出于经济动机的攻击者利用来传播 Magniber 勒索软件。

谷歌威胁分析小组 (TAG) 研究员 Benoit Sevens在一份报告中说：“供应商经常发布狭窄的补丁，为攻击者提供迭代和发现新变体的机会。”

“由于 SmartScreen 安全绕过背后的根本原因没有得到解决，攻击者能够快速识别出原始漏洞的不同变体。”

TAG 表示，自 2023 年 1 月以来，它观察到超过 100,000 次使用格式错误的 Authenticode 签名签名的恶意 MSI 文件的下载，从而允许对手在不发出任何安全警告的情况下分发 Magniber 勒索软件。这些下载中的大部分与欧洲用户有关。

美国网络安全和基础设施安全局 (CISA) 将这两个漏洞添加到已知被利用漏洞 ( KEV ) 目录中，并宣布了一项新的试点计划，旨在警告关键基础设施实体注意“通常与已知勒索软件利用相关的漏洞”。“

微软还关闭了一些影响 HTTP 协议栈（CVE-2023-23392，CVSS 评分：9.8）、互联网控制消息协议（CVE-2023-23415，CVSS 评分：9.8）和远程远程代码执行的严重漏洞过程调用运行时（CVE-2023-21708，CVSS 评分：9.8）。

其他值得注意的内容包括针对 Windows 内核中发现的四个权限升级漏洞的补丁、影响 Microsoft PostScript 和 PCL6 类打印机驱动程序的 10 个远程代码执行漏洞，以及Edge 浏览器中的WebView2欺骗漏洞。

您是否了解与第三方应用程序访问您公司的 SaaS 应用程序相关的风险？加入我们的网络研讨会，了解授予的权限类型以及如何将风险降至最低。

微软还修复了 OneDrive for Android 中的两个信息泄露漏洞（CVE-2023-24882和CVE-2023-24923，CVSS 评分：5.5），Office for Android 中的一个欺骗漏洞（CVE-2023-23391，CVSS 评分：5.5）， OneDrive for iOS 中的一个安全绕过漏洞（CVE-2023-24890，CVSS 分数：4.3），以及 OneDrive for macOS 中的一个权限升级问题（CVE-2023-24930，CVSS 分数：7.8）。

最后是针对可信平台模块 ( TPM ) 2.0 参考库规范（CVE-2023-1017和CVE-2023-1018 ，CVSS 评分：8.8）中两个高危漏洞的补丁，这些漏洞可能导致信息泄露或特权升级。

下一个补丁星期二将在 4 月 11 日。

>>>等级保护<<<

2. 
   
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 回看等级保护：重要政策规范性文件43号文（上）

5. 网络安全等级保护实施指南培训PPT
   

6. 网络安全等级保护安全物理环境测评培训PPT
   

7. 网络安全等级保护：等级保护测评过程要求PPT

8. 网络安全等级保护：安全管理中心测评PPT
   

9. 网络安全等级保护：安全管理制度测评PPT
   

10. 网络安全等级保护：定级指南与定级工作PPT
    

11. 网络安全等级保护：云计算安全扩展测评PPT
    

12. 网络安全等级保护：工业控制安全扩展测评PPT
    

13. 网络安全等级保护：移动互联安全扩展测评PPT

14. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
15. 网络安全等级保护：等级测评中的渗透测试应该如何做
16. 网络安全等级保护：等级保护测评过程及各方责任
17. 网络安全等级保护：政务计算机终端核心配置规范思维导图
18. 网络安全等级保护：什么是等级保护？
    
19. 网络安全等级保护：信息技术服务过程一般要求

20. 网络安全等级保护：浅谈物理位置选择测评项

21. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
22. 闲话等级保护：什么是网络安全等级保护工作的内涵？
23. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
24. 闲话等级保护：测评师能力要求思维导图
    
25. 闲话等级保护：应急响应计划规范思维导图
    
26. 闲话等级保护：浅谈应急响应与保障
    
27. 闲话等级保护：如何做好网络总体安全规划
    
28. 闲话等级保护：如何做好网络安全设计与实施
    
29. 闲话等级保护：要做好网络安全运行与维护
    
30. 闲话等级保护：人员离岗管理的参考实践

31. 信息安全服务与信息系统生命周期的对应关系

33. >>>工控安全<<<
34. 
    
35. 工业控制系统安全：信息安全防护指南
36. 工业控制系统安全：工控系统信息安全分级规范思维导图
37. 工业控制系统安全：DCS防护要求思维导图
38. 工业控制系统安全：DCS管理要求思维导图
39. 工业控制系统安全：DCS评估指南思维导图
40. 工业控制安全：工业控制系统风险评估实施指南思维导图
41. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
42. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
43. 
    
44. >>>数据安全<<<

45. 数据治理和数据安全

46. 数据安全风险评估清单

47. 成功执行数据安全风险评估的3个步骤

48. 美国关键信息基础设施数据泄露的成本

49. 备份：网络和数据安全的最后一道防线

50. 数据安全：数据安全能力成熟度模型

51. 数据安全知识：什么是数据保护以及数据保护为何重要？

52. 信息安全技术：健康医疗数据安全指南思维导图

53. 金融数据安全：数据安全分级指南思维导图

54. 金融数据安全：数据生命周期安全规范思维导图
    

56. >>>供应链安全<<<

57. 美国政府为客户发布软件供应链安全指南
    

58. OpenSSF 采用微软内置的供应链安全框架
    

59. 供应链安全指南：了解组织为何应关注供应链网络安全
    

60. 供应链安全指南：确定组织中的关键参与者和评估风险
    

61. 供应链安全指南：了解关心的内容并确定其优先级

62. 供应链安全指南：为方法创建关键组件

63. 供应链安全指南：将方法整合到现有供应商合同中

64. 供应链安全指南：将方法应用于新的供应商关系

65. 供应链安全指南：建立基础，持续改进。

66. 思维导图：ICT供应链安全风险管理指南思维导图
    

67. 英国的供应链网络安全评估

68. >>>其他<<<

69. 网络安全十大安全漏洞

70. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

71. 网络安全等级保护：应急响应计划规范思维导图

72. 安全从组织内部人员开始

73. VMware 发布9.8分高危漏洞补丁

74. 影响2022 年网络安全的五个故事

75. 2023年的4大网络风险以及如何应对

76. 网络安全知识：物流业的网络安全

77. 网络安全知识：什么是AAA（认证、授权和记账）？

78. 美国白宫发布国家网络安全战略

79. 开源代码带来的 10 大安全和运营风险

80. 不能放松警惕的勒索软件攻击

81. 10种防网络钓鱼攻击的方法

82. Mozilla通过发布Firefox 111修补高危漏洞

83. Meta 开发新的杀伤链理论

84. 最佳CISO如何提高运营弹性