|
微软的安全响应团队周二推出了大量软件更新,以解决其旗舰 Windows 操作系统和软件组件中的主要安全漏洞。 根据微软的说法,这些漏洞都没有被公开讨论或在野外被利用。 Windows 网络管理员被敦促特别注意 Windows 实用通用多播 (PGM) 中的三个高度严重的错误,该协议用于以可靠的方式在多个网络成员之间传递数据包。 所有三个 Windows Pragmatic General Multicast (PGM) 漏洞的 CVSS 严重性评分均为 9.8/10,可被远程、未经身份验证的攻击者利用以在受影响的系统上执行代码。 这三个高严重性漏洞被跟踪为CVE-2023-29363、CVE-2023-32014和CVE- 2023-32015。 趋势科技的ZDI说:“这是 PGM 连续第三个月解决 CVSS 9.8 错误,它开始成为一个主题,虽然默认情况下未启用,但 PGM 并不是一种不常见的配置。让我们希望在任何积极的利用开始之前,这些错误得到修复。”  安全专家还强调了CVE-2023-32021,这是 Microsoft Exchange Server 中的一个远程代码执行漏洞,允许攻击者绕过以前在野外利用的问题。 “虽然这确实需要攻击者在 Exchange 服务器上拥有一个帐户,但成功利用可能导致以 SYSTEM 权限执行代码,”ZDI 解释说。 6 月补丁批次还包括针对CVE-2023-3079 的修复,这是 Chrome (Chromium) 中的一个类型混淆缺陷,已在恶意软件攻击中被利用。 在微软发布补丁的同一天,Adobe 发布了针对多个产品中严重缺陷的补丁,其中包括十几个使 Adobe Commerce 用户面临代码执行攻击的问题。 Adobe 记录了广泛部署的 Adobe Commerce(前身为 Magento)产品中的至少12 个安全问题,并警告称,成功利用该漏洞可能导致任意代码执行、安全功能绕过和任意文件系统读取。来自 Adobe 的严重严重性公告称,Magento 开源产品也容易受到记录在案的问题的影响。 本月,微软发布了 69 个新补丁,解决 Microsoft Windows 和 Windows 组件中的 CVES;办公室和办公室组件;交换服务器;Microsoft Edge(基于 Chromium);共享服务器;.NET 和 Visual Studio;微软团队;Azure 开发运营;微软动态;和远程桌面客户端。这是对先前由第三方发布的 25 个 CVE 的补充,这些 CVE 现在记录在安全更新指南中。 包括对在 Pwn2Own Vancouver 比赛中提交的一些错误的修复。SharePoint 和本地权限升级应该通过这些修复来解决。但是,我们仍在等待对比赛中展示的 Teams 错误的修复。 在本周二发布的新补丁中,6 个被评为严重,62 个被评为重要,1 个被评为中等严重程度。这一修复数量略高于 6 月份的典型修复数量,但不是特别多。7 月往往是一个更大的月份,因为它是 Black Hat USA 会议之前的最后一个补丁星期二。看看这种趋势是否会继续下去将会很有趣。 今天发布的 CVE 均未被列为公开或在发布时受到积极攻击。让我们仔细看看本月的一些更有趣的更新,从 Exchange Server 中一个看起来很熟悉的错误开始: - CVE-2023-32031 – Microsoft Exchange Server 远程代码执行漏洞 此漏洞由 ZDI 研究员 Piotr Bazydło 发现,可绕过CVE-2022-41082和CVE-2023-21529。前者被列为正在积极利用。命令类中存在特定缺陷。该问题是由于缺乏对用户提供的数据的适当验证而导致的,这可能会导致不可信数据的反序列化。虽然这确实需要攻击者在 Exchange 服务器上拥有一个帐户,但成功利用可能会导致以 SYSTEM 权限执行代码。 - CVE-2023-29357 – Microsoft SharePoint Server 特权提升漏洞 此错误是 3 月份举行的 Pwn2Own 温哥华竞赛期间串联在一起的错误之一。由于 ValidateTokenIssuer 方法中的缺陷,此特定错误用于绕过身份验证。Microsoft 建议启用 AMSI 功能来缓解此漏洞,但我们尚未测试此操作的有效性。最好的办法是尽快测试和部署更新。 - CVE-2023-29363 / 32014 / 32015 – Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞 这三个错误在纸面上看起来完全相同,并且都被列为 CVSS 9.8。它们允许未经身份验证的远程攻击者在受影响的系统上执行代码,其中消息队列服务在 Pragmatic General Multicast (PGM) Server 环境中运行。这是 PGM 连续第三个月解决 CVSS 9.8 错误,它开始成为一个主题。虽然默认情况下未启用,但 PGM 并不是一种不常见的配置。让我们希望在任何积极的利用开始之前这些错误得到修复。 - CVE-2023-3079 – Chromium:V8 中的 CVE-2023-3079 类型混淆 这个 CVE 对任何人来说都不是新闻,因为它是由 Chrome 团队于 6 月 1 日发布的。但是,由于它被列为受到主动攻击,我想向所有可能因毕业、假期或其他干扰而错过它的人强调它。这是 Chrome 中的一个类型混淆错误,可能导致在登录用户级别执行代码。这也是今年 Chrome 中被积极利用的第二种混淆错误。务必确保您的基于 Chromium 的浏览器(包括 Edge)是最新的。 开启等级保护之路:GB 17859网络安全等级保护上位标准 回看等级保护:重要政策规范性文件43号文(上) 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护:等级保护测评过程要求PPT 网络安全等级保护:安全管理中心测评PPT 网络安全等级保护:安全管理制度测评PPT 网络安全等级保护:定级指南与定级工作PPT 网络安全等级保护:云计算安全扩展测评PPT 网络安全等级保护:工业控制安全扩展测评PPT 网络安全等级保护:移动互联安全扩展测评PPT 网络安全等级保护:第三级网络安全设计技术要求整理汇总 网络安全等级保护:等级测评中的渗透测试应该如何做 网络安全等级保护:等级保护测评过程及各方责任 网络安全等级保护:政务计算机终端核心配置规范思维导图 网络安全等级保护:什么是等级保护? 网络安全等级保护:信息技术服务过程一般要求 网络安全等级保护:浅谈物理位置选择测评项 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 闲话等级保护:什么是网络安全等级保护工作的内涵? 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护:测评师能力要求思维导图 闲话等级保护:应急响应计划规范思维导图 闲话等级保护:浅谈应急响应与保障 闲话等级保护:如何做好网络总体安全规划 闲话等级保护:如何做好网络安全设计与实施 闲话等级保护:要做好网络安全运行与维护 闲话等级保护:人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全:信息安全防护指南 工业控制系统安全:工控系统信息安全分级规范思维导图 工业控制系统安全:DCS防护要求思维导图 工业控制系统安全:DCS管理要求思维导图 工业控制系统安全:DCS评估指南思维导图 工业控制安全:工业控制系统风险评估实施指南思维导图 工业控制系统安全:安全检查指南思维导图(内附下载链接) 工业控制系统安全:DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份:网络和数据安全的最后一道防线 数据安全:数据安全能力成熟度模型 数据安全知识:什么是数据保护以及数据保护为何重要? 信息安全技术:健康医疗数据安全指南思维导图 金融数据安全:数据安全分级指南思维导图 金融数据安全:数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南:了解组织为何应关注供应链网络安全 供应链安全指南:确定组织中的关键参与者和评估风险 供应链安全指南:了解关心的内容并确定其优先级 供应链安全指南:为方法创建关键组件 供应链安全指南:将方法整合到现有供应商合同中 供应链安全指南:将方法应用于新的供应商关系 供应链安全指南:建立基础,持续改进。 思维导图:ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图 网络安全等级保护:应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识:物流业的网络安全 网络安全知识:什么是AAA(认证、授权和记账)? 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 Mozilla通过发布Firefox 111修补高危漏洞 Meta 开发新的杀伤链理论 最佳CISO如何提高运营弹性 |
|
|
