微软10月补丁 | 修复103个漏洞,包括2个零日漏洞,13个严重漏洞

近日,微软发布了2023年10月的补丁更新,解决了其软件中的103个漏洞。

在这103个漏洞中,有13个的评级为严重漏洞,90个被评为重要漏洞。自9月12日以来,谷歌已经解决了基于chrome的Edge浏览器的18个安全漏洞。

这两个零日漏洞中,一个标识为CVE-2023-36563,涉及Microsoft WordPad,其漏洞评分为6.5,可能导致NTLM哈希的泄露。另一个是CVE-2023-41763,关联Skype for Business,漏洞评分为5.3,可能导致IP地址或端口号等敏感信息的泄露,从而使威胁行为者能够进入内部网络。

根据微软的建议,攻击者需要首先登录系统,然后运行一个专门制作的应用程序,以利用漏洞并接管受影响的系统。此外,攻击者还可以说服本地用户打开恶意文件,通过电子邮件或即时消息的诱导,说服用户点击链接,然后说服他们打开专门制作的文件。

此外,微软还解决了影响Microsoft Message Queuing(MSMQ)和Layer2Tunneling Protocol的多个漏洞,这些漏洞可能导致远程代码执行和拒绝服务(DoS)。此次安全更新还解决了Windows IIS Server中的一个严重特权升级漏洞(CVE-2023-36434,CVSS评分为9.8),可能允许攻击者通过暴力攻击冒充并登录其他用户。

此外,微软还发布了一个关于CVE-2023-44487的更新,也被称为HTTP/2Rapid Reset攻击,此漏洞已被未知的攻击者作为零日漏洞用于进行大容量分布式拒绝服务(DDoS)攻击。微软指出,虽然这种DDoS可能影响服务可用性,但它本身不会导致客户数据的泄漏,目前还没有客户数据泄漏的证据。

微软宣布将淘汰Visual Basic Script(VBScript),该脚本经常被恶意软件利用进行传播。微软补充说,在将来的Windows版本中,VBScript将作为按需功能提供,然后从操作系统中删除。

相关推荐
祸不单行11 小时前
强化学习框架】Miles 项目技术分析---(1)--- 总体
microsoft
XUHUOJUN15 小时前
Windows 2025架构深度分析之Stretch Cluster 延迟工程现实
windows·microsoft·架构·azure local
zandy10111 天前
嵌入式BI PaaS:重构企业应用的数据智能生态
microsoft·重构·paas
程序猿炎义2 天前
一人内容团队——用Amazon Quick Desktop实现小红书从选题到发布的全流程自动化
大数据·人工智能·microsoft·自动化·小红书
snow@li2 天前
深入理解内核与操作系统的关系
运维·服务器·microsoft
枫叶丹42 天前
Hermes Agent 搭建全流程:从本机试跑到可持续运行的个人 AI Agent
人工智能·microsoft·hermes
XUHUOJUN2 天前
Azure Local / Storage Spaces Direct 五层数据布局原理深度剖析
microsoft·azure local·storage spaces
鱼忆梦2 天前
初识 Hermes 及工作中的简单应用
microsoft
XUHUOJUN3 天前
Azure Local GPU 部署与企业应用场景指南(下篇)
microsoft·架构·nvidia·azure local
星释3 天前
鸿蒙智能体开发实战:26.Skill 与插件协同开发
microsoft·华为·ai·harmonyos·鸿蒙·智能体