微软发布更新修复59个漏洞，包含2个被积极利用的零日漏洞

最近的网络安全观察中发现，微软已发布软件修复程序来修复其产品组合中的 59 个漏洞，其中包括 2 个已被恶意网络攻击者积极利用的零日漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，在这 59 个漏洞中，有 5 个漏洞被评为“严重”，55 个漏洞被评为“重要”，1 个漏洞的严重程度被评为“中等”。基于 Chromium 的 Edge 浏览器中修复了35 个漏洞，此次更新还包含对CVE-2023-4863 的修复，这是 WebP 图像格式中的一个关键堆缓冲区溢出漏洞。

下面列出了在实际攻击中受到积极利用的两个 Microsoft 漏洞：

• CVE-2023-36761（CVSS 评分：6.2）- Microsoft Word 信息泄露漏洞。
• CVE-2023-36802（CVSS 评分：7.8）- Microsoft 流服务代理特权提升漏洞。

微软在有关 CVE-2023-36761 的公告中表示，利用此漏洞可能会泄露NTLM 哈希值，并指出攻击者可能会滥用 CVE-2023-36802 来获取系统权限。

安全研究人员表示，CVE-2023-36761的利用不仅限于打开恶意 Word 文档的潜在目标，因为简单地预览文件就可能导致漏洞触发。利用该漏洞将导致新技术 LAN 管理器 (NTLM) 哈希值的泄露。

第一个是CVE-2023-23397，这是微软 Outlook 中的一个特权提升漏洞，已在 3 月补丁版本中披露。

其他值得注意的漏洞包括影响 Internet 连接共享 (ICS)、Visual Studio、3D Builder、Azure DevOps Server、Windows MSHTML 和 Microsoft Exchange Server 的多个远程代码执行缺漏洞，以及 Windows 内核、Windows GDI、Windows 通用日志中的特权提升问题文件系统驱动程序和 Office 等。