微软2023年12份于周二补丁日针对33个漏洞发布安全补丁(3)

虽然在发布时没有任何漏洞被列为公开已知或受到主动攻击，但下面列出了一些值得注意的漏洞 -
CVE-2023-35628（CVSS 评分：8.1）- Windows MSHTML 平台远程代码执行漏洞CVE-2023-35630（CVSS 评分：8.8）- Internet 连接共享 (ICS) 远程代码执行漏洞CVE-2023-35636（CVSS 评分：6.5）- Microsoft Outlook 信息泄露漏洞CVE-2023-35639（CVSS 评分：8.8）- Microsoft ODBC 驱动程序远程代码执行漏洞CVE-2023-35641（CVSS 评分：8.8）- Internet 连接共享 (ICS) 远程代码执行漏洞CVE-2023-35642（CVSS 评分：6.5）- Internet 连接共享 (ICS) 拒绝服务漏洞CVE-2023-36019（CVSS 评分：
9.6）- Microsoft Power Platform 连接器欺骗漏洞
CVE-2023-36019 也很重要，因为它允许攻击者向目标发送特制的 URL，从而导致在受害者计算机上的浏览器中执行恶意脚本。
微软的周二补丁更新还修复了动态主机配置协议（DHCP）服务器服务中的三个缺陷，这些缺陷可能导致拒绝服务或信息泄露 -
CVE-2023-35638（CVSS 评分：7.5）- DHCP 服务器服务拒绝服务漏洞CVE-2023-35643（CVSS 评分：7.5）- DHCP 服务器服务信息泄露漏洞CVE-2023-36012（CVSS 评分：5.3）- DHCP 服务器服务信息泄露漏洞
值得注意的是，与前几个月相比，2023 年 12 月的 Microsoft 周二补丁更新中的漏洞明显减少。
2023 年 12 月补丁星期二修复的严重漏洞
CVE-2023-36019（CVSS 评分：9.6）：此漏洞是一个影响 Microsoft Power Platform 连接器的欺骗问题。攻击者可以操纵恶意链接、应用程序或文件，使其看起来像合法的链接、应用程序或文件，欺骗受害者让他们与之交互，从而导致妥协。虽然漏洞存在于 Web 服务器中，但恶意脚本的执行发生在受害者的浏览器中。
CVE-2023-35630（CVSS 评分：8.8）： Internet 连接共享 (ICS) 中的此漏洞会带来远程代码执行 (RCE) 的潜在风险。要利用它，攻击者需要操纵DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST 输入消息中的选项->长度字段。尽管该漏洞很严重，但其利用仅限于与攻击者位于同一网段的系统，无法跨多个网络扩展。