补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞

业界资讯 2023-09-18 22:24:52 阅读次数: 0

a0eb5f51ec1effe6cbf12b0096819a54.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

今天是微软9月补丁星期二,共修复59个漏洞,其中2个是已遭利用的 0day。Adobe 和Mozilla公司也发布安全更新,分别修复了已遭利用的一个 0day。

1c5ddae8ba0b8482e711dbcbd2d43139.png

6ff3d25e42794747161cd9e69f7e303f.png

微软

本次微软共修复59个漏洞,其中:

  • 3个安全特性绕过漏洞

  • 24个远程代码执行漏洞

  • 9个信息泄露漏洞

  • 3个拒绝服务漏洞

  • 5个欺骗漏洞

  • 5个Edge-Chromium 漏洞

已遭利用的两个0day 漏洞是:

  • CVE-2023-36802:微软 Streaming Service Proxy 提权漏洞。

  • CVE-2023-36371:微软Word 信息泄露漏洞,当打开文档时,攻击者可利用该漏洞窃取NTLM 哈希,而这些哈希可被破解或用于 NTLM 中继攻击中获取账户权限。预览面板也是攻击向量,意味着漏洞利用无需用户交互。

值得关注的其它漏洞还包括:

  • CVE-2023-29332:微软Azure Kubernetes Service 提权漏洞。它可导致远程未认证攻击者获得 Cluster Administration 权限。虽然此类漏洞此前出现过,但该漏洞由于可从互联网访问,无需用户交互且利用复杂度低,因此该漏洞值得关注。虽然微软给定的评级是“利用可能性较低“,但基于远程未认证攻击者即可利用,因此对于攻击者而言诱惑力也很大。

  • CVE-2023-38148:Internet Connection Sharing (ICS) 远程代码执行漏洞。虽然该漏洞的CVSS评分为8.8,但好在它仅限于网络临近攻击者,而且成功利用也需要启动ICS,可导致攻击者在受影响系统上运行代码。

  • CVE-2023-38146:Windows Themes 远程代码执行漏洞。该漏洞可能并非本月修复的最严重漏洞之一,但却引发一波回忆杀。如果攻击者可说服用户打开特别构造的主题文件,则可实现代码执行后果。如果听起来就像20多年前的屏保程序漏洞,确实如此。而这要多亏Pwn2Own 大赛获胜者 Thijs Alkemade 和 Daan Keuper 的努力,才让它出现在我们面前。

05b298102ad4dbbf04e51016b5fb02d1.png

Adobe 修复已遭利用0day

Adobe 公司发布安全更新,修复了位于 Acrobat 和 Reader 中的一个 0day 漏洞CVE-2023-26369,虽然目前尚未发布详情,但已知情况是该漏洞同时影响 Windows 和 macOS 系统。

攻击者在成功利用一个界外写漏洞后,可利用该漏洞获得代码执行权限。Adobe 将该漏洞的评级为满分,并强烈建议管理员尽快在72小时时间窗口内修复该漏洞。该漏洞影响的产品如下:

744491b98520285c67d2bf719eddb27c.png

d191476c1792da89da9629aac9b9a777.png

Mozilla 紧急修复Firefox 中的已遭利用0day

Mozilla 公司紧急修复了一个已遭在野利用的严重漏洞CVE-2023-4863。该漏洞影响 Firefox 浏览器和 Thunderbird 邮件客户端。该漏洞是由位于 WebP 代码库 (libwebp) 中的堆缓冲溢出漏洞引发的,可导致设备崩溃、任意代码执行等后果。

Mozilla 公司已在 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1和 Thunderbird 115.2.2中修复该漏洞。虽然关于该漏洞的具体详情尚未披露,但该漏洞已在真实场景中遭利用。因此强烈建议用户更新至Firefox 和 Thunderbird 最新版本,使系统免遭攻击。

Mozilla 还表示该漏洞还影响使用易受攻击 WebP 代码库版本的其它软件,其中之一就是谷歌 Chrome 浏览器。Chrome 浏览器将在数天或数周内向所有用户推送补丁。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌紧急修复已遭利用的 Chrome 0day

苹果紧急修复两个已遭利用的 0day

Rapid7 2023年中威胁局势回顾:勒索攻击ROI仍高居不下;0day 漏洞利用规模扩大

Ivanti 紧急修复 API 认证绕过0day漏洞

谷歌紧急修复已遭利用的 Chrome 0day

微软7月补丁星期二修复132个漏洞:5个已遭利用0day且1个无补丁

洞少事大:微软5月补丁星期二需关注的漏洞

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2023-patch-tuesday-fixes-2-zero-days-59-flaws/

https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-acrobat-and-reader-zero-day-exploited-in-attacks/

https://www.zerodayinitiative.com/blog/2023/9/12/the-september-2023-security-update-review

https://www.bleepingcomputer.com/news/security/mozilla-patches-firefox-thunderbird-against-zero-day-exploited-in-attacks/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

979a85557f50403ef67c6f5063b85f7e.jpeg

0cb31fdadcea2638120634a73b68b2e7.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   756d96bc5e6fc64e267d6bbc10992bc4.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

猜你喜欢

转载自blog.csdn.net/smellycat000/article/details/132867629
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
周排行
购置笔记本常识
从源码看Spring Security之采坑笔记(Spring Boot篇)
大数据学习——高可用配置案例
如何避免选择不专业的建站公司?
Euclid's Game HDU - 1525(博弈)
面试笔记(六)---Js实现eventHandler
Windows 实例搭建的 FTP 在外网无法连接和访问
设计模式 : 桥接模式
USB 设备驱动开发之几个重要结构体分析
14-p14_sqrt求平方根
每日归档
更多
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022