6月的微軟Patch Tuesday修補6個重大漏洞
內容說明:
微軟本周二(6/13)的Patch Tuesday總計列出了94個安全漏洞,其中有69個位於微軟產品中,另有25個源自於第三方產品,在屬於微軟的69個安全漏洞中,有6個被列為重大(Critical)等級,此次並未發現或修補零時差漏洞。
本月修補的重大漏洞涵蓋位於.NET、.NET框架及Visual Studio的遠端程式攻擊漏洞CVE-2023-24897、SharePoint Server的權限擴張漏洞CVE-2023-29357,Windows Hyper-V的服務阻斷漏洞CVE-2023-32013、以及3個位於Windows Pragmatic General Multicast(PGM)的遠端程式攻擊漏洞CVE-2023-29363、CVE-2023-32014與CVE-2023-32015。
PGM為一可靠群播電腦網路的傳輸協定,可同時向多個接收者提供可靠的封包序列,上述3個與該傳輸協定有關之漏洞的CVSS風險評分皆高達9.8。根據微軟的說明,當Windows訊息佇列服務在PGM伺服器環境中運作時,駭客即可自遠端藉由傳送特製的檔案以執行程式。不過,PGM的預設值是關閉的,必須由管理人員主動啟用。
值得注意的是,這已是微軟連續第三個月修補位於PGM的重大安全漏洞(CVE-2023-28250、CVE-2023-24943)。
另一個CVSS風險評分亦達9.8的是SharePoint Server的權限擴張漏洞CVE-2023-29357,駭客只要利用偽造的JWT驗證令牌,就能繞過身分驗證並取得管理員權限。
風險等級:
2
建議措施:
儘速執行微軟產品更新以修補漏洞