安全公告編號(hào):CNTA-2023-0019
11月15日,微軟發(fā)布了2023年11月份的月度例行安全公告,修復(fù)了多款產(chǎn)品存在的63個(gè)安全漏洞,影響產(chǎn)品包括Windows 11、Windows 10、Windows Server 2022、Windows Server 2008和Microsoft Office等。
利用上述漏洞,攻擊者可進(jìn)行欺騙,繞過(guò)安全功能限制,獲取敏感信息,提升權(quán)限,執(zhí)行遠(yuǎn)程代碼,或發(fā)起拒絕服務(wù)攻擊等。CNVD提醒廣大Microsoft用戶盡快下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
CVE編號(hào) |
公告標(biāo)題 |
最高嚴(yán)重等級(jí)和漏洞影響 |
受影響的軟件 |
CVE-2023-36033 |
Windows DWM Core Library權(quán)限提升漏洞 |
重要 特權(quán)提升 |
Windows 11 Windows 10 Server 2022 Server 2019 |
CVE-2023-36025 |
Windows SmartScreen安全功能繞過(guò)漏洞 |
重要 安全功能繞過(guò) |
Windows 10 Windows 11 Server 2012 Server 2008 Server 2016 |
CVE-2023-36052 |
Azure CLI REST Command信息泄露漏洞 |
嚴(yán)重 信息泄露 |
az logicapp config appsettings set az logicapp config appsettings delete az webapp config appsettings set az webapp config appsettings delete az functionapp config appsettings delete az staticwebapp appsettings delete az functionapp config appsettings set az staticwebapp appsettings set |
CVE-2023-36397 |
Windows Pragmatic General Multicast (PGM)遠(yuǎn)程代碼執(zhí)行漏洞 |
嚴(yán)重 遠(yuǎn)程代碼執(zhí)行 |
Server 2012 Server 2008 Server 2016 Server 2022 Server 2019 Windows 10 Windows 11 |
CVE-2023-36400 |
Windows HMAC Key Derivation權(quán)限提升漏洞 |
嚴(yán)重 特權(quán)提升 |
Server 2016 Server 2022 Server 2019 Windows 10 Windows 11 |
CVE-2023-36036 |
Windows Cloud Files Mini Filter Driver權(quán)限提升漏洞 |
重要 特權(quán)提升 |
Server 2012 Server 2008 Server 2016 Server 2022 Server 2019 Windows 10 Windows 11 |
CVE-2023-36439 |
Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞 |
重要 遠(yuǎn)程代碼執(zhí)行 |
Exchange Server 2019 Exchange Server 2016 |
CVE-2023-38177 |
Microsoft SharePoint Server遠(yuǎn)程代碼執(zhí)行漏洞 |
重要 遠(yuǎn)程代碼執(zhí)行 |
SharePoint Server Subscription Edition SharePoint Server 2019 SharePoint Enterprise Server 2016 |
CVE-2023-36413 |
Microsoft Office安全功能繞過(guò)漏洞 |
重要 安全功能繞過(guò) |
Office 2016 Office 2019 Office LTSC 2021 365 Apps for Enterprise |
CVE-2023-36038 |
ASP.NET Core拒絕服務(wù)漏洞 |
重要 拒絕服務(wù) |
.NET 8.0 ASP.NET Core 8.0 Visual Studio 2022 |
參考信息:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
感謝奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、上海斗象信息科技有限公司和北京神州綠盟科技有限公司為本報(bào)告提供的支持。
------------------------------------------------------------
國(guó)家信息安全漏洞共享平臺(tái)(China National Vulnerability Database,簡(jiǎn)稱CNVD)是由CNCERT聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù),致力于建立國(guó)家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗(yàn)證、分析等應(yīng)急處理體系。
在發(fā)布漏洞公告信息之前,CNVD都力爭(zhēng)保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實(shí)施公告中的建議則完全由用戶自己決定,其可能引起的問(wèn)題和結(jié)果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個(gè)人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個(gè)人或您企業(yè)的安全策略和流程。
我們鼓勵(lì)所有計(jì)算機(jī)與網(wǎng)絡(luò)安全研究機(jī)構(gòu),包括廠商和科研院所,向我們報(bào)告貴單位所發(fā)現(xiàn)的漏洞信息。我們將對(duì)所有漏洞信息進(jìn)行驗(yàn)證并在CNCERT/CC網(wǎng)站和國(guó)家信息安全漏洞共享平臺(tái)(CNVD)公布漏洞信息及指導(dǎo)受影響用戶采取措施以避免損失。
