政府电脑保安事故协调中心 - 高危保安警报 (A23-03-08): Microsoft 产品多个漏洞 (2023年3月)

描述:

Microsoft 发布了安全性更新，以应对影响数个 Microsoft 产品或元件的多个漏洞。有关安全性更新的列表，请参考以下网址：
https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar

有Microsoft 发布了影响 Microsoft Outlook 的权限提升漏洞 (CVE-2023-23397) 的更多资讯。由于有多个报告指漏洞正受到攻击，系统管理员应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

有报告指 Microsoft Outlook、Microsoft Windows 及 Server 的漏洞 (CVE-2023-23397 及 CVE-2023- 24880) 正受到攻击。另外，多个远端执行程式码漏洞 (CVE-2023-21708、CVE-2023-23392 及 CVE-2023-23415) 正处于被攻击的高风险。系统管理员及用户应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

受影响的系统:

Microsoft Windows 10, 11
Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022
Microsoft Office 2013, 2013 RT, 2016, 2019, LTSC 2021
Microsoft Office 2019 for Mac, LTSC for Mac 2021
Microsoft Office for Android, for Universal
Microsoft Office Online Server
Microsoft Office Web Apps Server 2013
Microsoft Excel 2013, 2013 RT, 2016
Microsoft Outlook
Microsoft 365 Apps for Enterprise
Microsoft Dynamics 365 (on-premises) version 9.0, version 9.1
Microsoft SharePoint Foundation 2013
Microsoft SharePoint Enterprise Server 2013, 2016
Microsoft SharePoint Server 2019, Subscription Edition
Microsoft Visual Studio 2017, 2019, 2022
Azure HDInsights
Azure Service Fabric 9.1 for Ubuntu, for Windows
Microsoft Malware Protection Engine
OneDrive for Android, for MacOS Installer, for iOS

影响:

成功利用这些漏洞可以导致远端执行程式码、服务被拒绝、权限提升、泄漏资讯、绕过保安功能及仿冒诈骗，视乎攻击者利用哪个漏洞而定。

建议:

受影响产品的修补程式可在 Windows Update 或 Microsoft Update Catalog 获取。受影响系统的系统管理员及用户应遵从产品供应商的建议，立即採取行动以降低风险。

进一步资讯:

https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://www.hkcert.org/tc/security-bulletin/microsoft-monthly-security-update-march-2023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1017 (to CVE-2023-1018)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22490
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22743
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23383
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23385
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23388 (to CVE-2023-23389)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23391 (to CVE-2023-23423)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23618
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23946
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24856 (to CVE-2023-24859)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24861 (to CVE-2023-24872)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24876
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24879 (to CVE-2023-24880)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24882
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24890 (to CVE-2023-24892)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24906 (to CVE-2023-24911)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24913
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24919 (to CVE-2023-24923)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24930

标签 : Microsoft , Windows , Windows Server , Microsoft Office , Office Online Server , Microsoft Office Web Apps , Excel , Outlook , Microsoft 365 Apps , Dynamics 365 , SharePoint , Visual Studio , Azure HDInsights , Azure Service Fabric , Microsoft Malware Protection Engine , OneDrive