微软6月补丁星期二值得关注的漏洞

发布于 作者:

微软6月补丁星期二值得关注的漏洞

ZDI 代码卫士 2023-06-14 18:03

聚焦源代码安全,网罗国内外最新资讯!****

编译:代码卫士

微软在6月补丁星期二共发布69个补丁,修复了多款产品中的漏洞,另外由第三方此前发布的25个CVE漏洞也收录到安全更新指南中。

在这些漏洞中,6个被评级为“严重”,62个被评级为“重要”,以及一个被评级为“中危”。这些漏洞均未被列为公开已知或已遭活跃利用。如下是一些值得关注的漏洞。

CVE-2023-32031:微软 Exchange Server远程代码执行漏洞

该漏洞是对 CVE-2022-41082和CVE-2023-21529的绕过。CVE-2022-41082被列为已遭活跃利用,它位于 Command 类中,是因缺乏对用户所提供数据缺乏正确验证造成的,可导致不受信任数据反序列化后果。虽然利用该漏洞要求攻击者在 Exchange 服务器上拥有账户,但成功利用可导致以系统权限执行代码。

CVE-2023-29357:微软 SharePoint Server提权漏洞

该漏洞是在3月 Pwn2Own 温哥华大赛时被组合利用的漏洞之一。攻击者可通过 ValidateTokenIssuer 方法中的一个缺陷,利用该漏洞绕过认证。微软建议启用 AMSI 特性缓解该漏洞。建议用户尽快测试并部署该更新。

CVE-2023-29363/32014/32015:Windows PGM 远程代码执行漏洞

这三个漏洞的CVSS评分均为9.8,可导致远程未认证攻击者在有消息队列服务在 PGM Server 环境中运行的受影响系统上执行代码。这是微软连续第三个月修复的又一个严重的 PGM 漏洞。虽然并非默认启用,但 PGM 并非不常见的配置。希望这些漏洞能在遭活跃利用前被修复。

CVE-2023-3079:Chromium V8 中的类型混淆漏洞

该漏洞被列为遭活跃利用的漏洞。它是位于 Chrome 中的一个类型混淆漏洞,可导致以已登录用户身份执行代码。它也是今年遭活跃利用的第二个混淆漏洞。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读


奇安信入选全球《软件成分分析全景图》代表厂商

洞少事大:微软5月补丁星期二需关注的漏洞

微软四月补丁星期二值得关注的漏洞

微软3月补丁星期二值得关注的漏洞

2月微软补丁星期二值得关注的漏洞

原文链接

https://www.zerodayinitiative.com/blog/2023/6/13/the-june-2023-security-update-review

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~