聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
10月份,Adobe 发布了三份安全公告,修复了位于 Adobe Photoshop、Bridge和Adobe Commerce 中的13个CVE漏洞。其中Commerce 本月修复的漏洞数量最多,共有10个‘’严重”和“重要”级别的漏洞,其中最严重的漏洞可导致攻击者通过SQL注入实现任意代码执行。Photoshop 更新修复了一个代码执行漏洞,可被攻击者通过说服用户打开特殊构造的文件以利用受影响系统。Adobe Bridge 修复了两个“严重”级别的漏洞。
Adobe 公司指出,以上漏洞均未遭公开披露或遭活跃利用,并将更新的部署优先级评级为3级。
微软本月共修复了104个漏洞,其中3个是已遭利用的0day漏洞。虽然仅修复了45个RCE漏洞,但微软仅将其中12个列为“严重”级别。微软本月修复的漏洞情况如下:
26个提权漏洞
3个安全特性绕过漏洞
45个远程代码执行 (RCE) 漏洞
12个信息泄露漏洞
17个拒绝服务漏洞
1个欺骗漏洞
这104个漏洞中并未包含Chromium 漏洞CVE-2023-5346。该漏洞由谷歌在10月3日修复并被导入微软Edge。
(1) 已遭利用的3个0day
CVE-2023-41763:Skeype for Business 提权漏洞。微软指出,“成功利用该漏洞的攻击者可查看一些敏感信息(机密性),但并非受影响组件中的所有资源可被泄露给攻击者。攻击者无法更改被泄露的信息(完整性)或者限制对资源的访问(可用性)。”
该漏洞是由 Florian Hauser 博士发现的,他指出这和自己在2022年9月发布的缺陷是一样的,但当时微软拒绝修复。一年之后微软终于修复。他提到,“可利用该漏洞在内部网络中触及系统。由于通常Skype 被暴露在公开互联网中,因此它本质上可导致攻击者攻陷互联网边界。”
CVE-2023-36563:微软WordPad 信息泄露漏洞。如在 WordPad 中打开一份文档,即可利用该漏洞窃取NTLM哈希。微软指出,“要利用这个漏洞,攻击者首先必须登录系统,之后运行特殊构造的应用程序以利用该漏洞并控制受影响系统。另外,攻击者可说服本地用户打开恶意文件。攻击者必须说服用户点击链接(通常包含在邮件或即时消息中),之后说服用户打开特殊构造的文件。”这些NTLM 哈希可被破解或用于NTLM中继攻击中,获得对账户的访问权限。
该漏洞是由微软威胁情报团队内部发现的,似乎是上月修复的CVE-2023-36761的补救。
CVE-2023-44487:HTTP/2快速重置攻击。微软为一种新的 0day DDoS 攻击技术 “HTTP/2 快速重置 (Rapid Reset)” 发布缓解措施。该攻击自8月就已遭活跃利用,打破了此前所有记录。该攻击利用 HTTP/2的刘取消特性,继续发送并取消请求,冲击目标服务器/应用并施加 DoS 状态。由于该特性内置于 HTTP/2 标准中,因此并不存在修复方案,仅能通过速率限制或拦截该协议。
微软给出的安全公告是禁用 web 服务器上的 HTTP/2 协议,另外还发布文章交代了更多详情。该漏洞是由 Cloudflare、亚马逊和谷歌联合披露的。
微软表示,CVE-2023-41763和CVE-2023-36563均已公开披露。
(2) 其它值得关注的漏洞
CVE-2023-36434 是Windows IIS 服务器提权漏洞,CVSS 评分为9.8。成功利用该漏洞的攻击者可以其它用户身份登录受影响的IIS 服务器。由于该漏洞无需暴力攻击因此微软并未将其评级为“严重”等级,但当前暴力攻击可轻易自动化实施。因此,如果用户运行的是IIS,则应将其视作重要更新并快速修复。
补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2023-patch-tuesday-fixes-3-zero-days-104-flaws/
https://www.zerodayinitiative.com/blog/2023/10/10/the-october-2023-security-update-review
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh