微軟2023年6月份月度安全漏洞預(yù)警

2023-06-14

一、概要

近日，華為云關(guān)注到微軟發(fā)布2023年6月份安全補(bǔ)丁更新，共披露了70個安全漏洞，其中6個漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實現(xiàn)遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、安全功能繞過等。受影響的應(yīng)用包括：Microsoft Windows、Microsoft Office 、Windows Hyper-V、.NET等組件。

微軟官方說明：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Jun

本月官方標(biāo)記為更有可能被利用的漏洞有8個（如：CVE-2023-29357、CVE-2023-32031、CVE-2023-28310等），詳情請查看官方公告，華為云提醒用戶及時安全自檢并做好安全加固以降低被攻擊的風(fēng)險。

二、漏洞級別

漏洞級別：【嚴(yán)重】

（說明：漏洞級別共四級：一般、重要、嚴(yán)重、緊急）

三、影響范圍

Microsoft Windows、Microsoft Office 、Windows Hyper-V、.NET等產(chǎn)品。 

四、重要漏洞說明詳情

CVE編號	漏洞名稱	嚴(yán)重程度	漏洞描述
CVE-2023-29363 CVE-2023-32014 CVE-2023-32015	Windows Pragmatic General Multicast (PGM) 遠(yuǎn)程代碼執(zhí)行漏洞	嚴(yán)重	當(dāng) Windows 消息隊列服務(wù)在 PGM Server 環(huán)境中運(yùn)行時，攻擊者通過網(wǎng)絡(luò)發(fā)送特制的文件觸發(fā)漏洞，成功利用此漏洞可以實現(xiàn)遠(yuǎn)程代碼執(zhí)行，并試圖觸發(fā)惡意代碼。
CVE-2023-29357	Microsoft SharePoint Server 特權(quán)提升漏洞	嚴(yán)重	獲得偽造的JWT身份驗證令牌的攻擊者可以繞過身份驗證，成功利用此漏洞的攻擊者可以獲得管理員特權(quán)。
CVE-2023-24897	.NET, .NET Framework, and Visual Studio遠(yuǎn)程代碼執(zhí)行漏洞	嚴(yán)重	遠(yuǎn)程攻擊者通過誘導(dǎo)受害者從網(wǎng)站下載并打開特制文件觸發(fā)漏洞，從而導(dǎo)致在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
CVE-2023-32013	Windows Hyper-V 拒絕服務(wù)漏洞	嚴(yán)重	遠(yuǎn)程攻擊者可以向應(yīng)用程序傳遞特制的輸入，最終導(dǎo)致Hyper-V物理機(jī)拒絕服務(wù)。

（注：以上為嚴(yán)重漏洞，其他漏洞及詳情請參見微軟官方說明） 

五、安全建議

1、可通過Windows Update自動更新微軟補(bǔ)丁修復(fù)漏洞，也可以手動下載補(bǔ)丁，補(bǔ)丁下載地址：

https://msrc.microsoft.com/update-guide

2、為確保數(shù)據(jù)安全，建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。