Microsoft 2023 年 11 月补丁日修复了 58个漏洞，其中包括5个0day

今天是微软的 2023 年 11 月补丁日，微软修复了58 个缺陷，其中包括 5 个0day。

本月更新修复了 14 个远程代码执行 (RCE) 漏洞，微软将其中一个评为严重级。今天修复的三个关键漏洞是 Azure 信息泄露错误、Windows Internet 连接共享 (ICS) 中的 RCE 漏洞以及允许在具有 SYSTEM 权限的主机上执行程序的 Hyper-V 转义缺陷。

下面列出了每个漏洞类别中的漏洞数量：

• 16 个特权提升漏洞

• 6 个安全功能绕过漏洞

• 15 个远程代码执行漏洞

• 6 个信息泄露漏洞

• 5 个拒绝服务漏洞

• 11 个欺骗漏洞

58 个漏洞的总数不包括本月早些时候发布的 5 个 Mariner 安全更新和 20 个 Microsoft Edge 安全更新。

三个被积极利用的0day漏洞：

CVE-2023-36036 - Windows 云文件微型筛选器驱动程序特权提升漏洞

Microsoft 修复了一个经常被利用的 Windows 云文件迷你过滤器权限提升错误。

微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。”

目前尚不清楚该缺陷是如何在攻击中被滥用的，也不清楚是由哪些攻击者滥用的。

该漏洞是由 Microsoft 威胁情报 Microsoft 安全响应中心内部发现的。

CVE-2023-36033 - Windows DWM 核心库特权提升漏洞

Microsoft 修复了一个被积极利用并公开披露的 Windows DWM 核心库漏洞，该漏洞可用于提升 SYSTEM 权限。

微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。”

微软表示该漏洞是由 DBAPPSecurity WeBin Lab 的 Quan Jin(@jq0904) 发现的， 但没有透露如何在攻击中使用它们的详细信息。

CVE-2023-36025 - Windows SmartScreen 安全功能绕过漏洞

一个经常被利用的 Windows SmartScreen 缺陷，该缺陷允许恶意 Internet 快捷方式绕过安全检查和警告。

微软解释说：“攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。”

用户必须单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 快捷方式文件的超链接，才会受到攻击者的攻击。

该漏洞是由 Will Metcalf (Splunk)、微软威胁情报和微软 Office 产品组安全团队发现的。

另外两个公开披露的0day漏洞“CVE-2023-36413 - Microsoft Office 安全功能绕过漏洞”和“CVE-2023-36038 - ASP.NET Core 拒绝服务漏洞”，这两个漏洞也进行了修复。微软表示，它们并未在攻击中被积极利用。

本周，Adobe 推出了大量安全修复程序，以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。

Adobe 记录了 72 个不同的安全漏洞，并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。

在一份漏洞严重性公告中，Adobe 记录了至少 17 个 Acrobat 和 Reader 错误，这些错误使未修补的 Windows 和 macOS 系统面临任意代码执行和内存泄漏风险。

Adobe 还针对至少六个不同的 ColdFusion 漏洞发布了补丁，这些漏洞可能导致任意代码执行和安全功能绕过。ColdFusion 漏洞被标记为严重级别并影响 2023 和 2021两个版本。

参考链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/