微软2023年12份于周二补丁日针对33个漏洞发布安全补丁(2)

今天发布的 CVE 均未被列为公开已知或在发布时受到主动攻击。让我们仔细看看本月的一些更有趣的更新，首先是 MSHTML 引擎中的一个有影响力的错误：
- CVE-2023-35628 – Windows MSHTML 平台远程代码执行漏洞
此补丁修复了一个错误，该错误可能允许未经身份验证的远程攻击者仅通过向目标发送特制电子邮件即可在受影响的系统上执行任意代码。这通常意味着预览窗格是一个攻击媒介，但这里的情况并非如此。相反，代码执行发生在 Outlook 检索和处理邮件时，发生在预览窗格之前。毫无疑问，勒索软件团伙将尝试针对此漏洞创建可靠的利用方法。他们可能会遇到一些问题，因为利用确实需要内存整形技术。
- CVE-2023-36019 – Microsoft Power Platform 连接器欺骗漏洞
这是本月评分最高的 CVSS，评分为 9.6，其行为更像是代码执行错误，而不是欺骗错误。该漏洞存在于 Web 服务器上。但是，如果受影响的系统点击特制的链接，恶意脚本将在客户端的浏览器上执行。Microsoft 还通过 Microsoft 365 管理中心向受影响的用户通知了此错误。如果您正在运行管理中心，请务必阅读公告以获取完整详细信息。
- CVE-2023-35636 – Microsoft Outlook 信息泄露漏洞
此 Outlook 错误没有预览窗格攻击媒介。但是，如果被利用，该漏洞会导致 NTLM 哈希值泄露。这些哈希值可用于欺骗其他用户并在企业内获得进一步的访问权限。今年早些时候，微软将类似的错误称为特权提升（EoP），而不是信息泄露。无论您如何对其进行分类，威胁参与者都会发现这些类型的错误很诱人并经常使用它们。

根据零日计划的数据，这家软件巨头今年已修补了 900 多个缺陷，使其成为微软补丁最繁忙的年份之一。作为比较，雷德蒙德在 2022 年解决了 917 个 CVE。