微軟周二發(fā)布了87個漏洞的更新，其中包括兩個正在被積極利用的漏洞。

根據(jù)Tenable高級研究工程師Satnam Narang的說法，第一個零日漏洞是在上個月的補(bǔ)丁星期二公開披露的。

上個月，微軟最初宣布了一系列在各種微軟產(chǎn)品中被發(fā)現(xiàn)和利用的零日漏洞。它們被分配了一個占位符CVE-2023-36884。

本月，微軟發(fā)布了此漏洞的補(bǔ)丁，稱其為Windows搜索安全功能繞過漏洞，并發(fā)布了ADV230003，這是一個深度防御更新，旨在阻止導(dǎo)致利用此CVE的攻擊鏈。

Narang敦促組織優(yōu)先考慮補(bǔ)丁和深度防御更新，因為這個漏洞已經(jīng)在攻擊中被利用。

第二個零日漏洞是CVE-2023-38180，.NET和Visual Studio中的拒絕服務(wù)錯誤，可能導(dǎo)致系統(tǒng)崩潰。

Action1聯(lián)合創(chuàng)始人邁克·沃爾特斯說：?“它利用網(wǎng)絡(luò)攻擊向量，攻擊的復(fù)雜性低，不需要特權(quán)或用戶交互。它的CVSS評級為7.5，由于它唯一的能力導(dǎo)致拒絕服務(wù)，因此不屬于高級別?！?/strong>

在其他地方，專家敦促系統(tǒng)管理員在本月的更新中查看六個關(guān)鍵cve中的一個。

CVE-2023-21709是一個針對Microsoft Exchange Server的權(quán)限提升漏洞，CVSS得分為9.8。攻擊復(fù)雜性低，不需要任何用戶交互，使其成為威脅參與者的潛在流行選擇。微軟本月還列出了20多個遠(yuǎn)程代碼執(zhí)行(RCE)錯誤。

這些漏洞包括CVE-2023-29328和CVE-2023-29330，這是微軟團(tuán)隊中的兩個關(guān)鍵漏洞，攻擊者可以利用它們直接訪問目標(biāo)設(shè)備。為了利用，用戶必須加入由攻擊者組織的Teams會議，Walters解釋說。

CVE-2023-36911、CVE-2023-36910和CVE-2023-35385都是微軟消息隊列服務(wù)中的RCE漏洞，CVSS得分為9.8，但被利用的可能性很低。

沃爾特斯說:“這三者都有網(wǎng)絡(luò)攻擊載體，攻擊復(fù)雜性低，不需要特權(quán)，也不需要用戶交互。”

標(biāo)簽：