近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞51个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、 漏洞介绍

2023年5月9日,微软发布了2023年5月份安全更新,共52个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Bluetooth Driver、Microsoft Teams、Microsoft Windows Win32K、Microsoft Remote Desktop Client、Microsoft Windows Codecs Library等。CNNVD对其危害等级进行了评价,其中超危漏洞3个,高危漏洞32个,中危漏洞16个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问微软官方网站查询:

https://portal.msrc.microsoft.com/zh-cn/security-guidance

二、漏洞详情

此次更新共包括38个新增漏洞的补丁程序,其中超危漏洞2个,高危漏洞24个,中危漏洞11个,低危漏洞1个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

Microsoft Windows Network File System 安全漏洞

CNNVD-202305-749

CVE-2023-24941

超危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24941

2

Microsoft Windows PGM 安全漏洞

CNNVD-202305-747

CVE-2023-24943

超危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24943

3

Microsoft Windows SMB 安全漏洞

CNNVD-202305-765

CVE-2023-24898

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24898

4

Microsoft Graphics Component 安全漏洞

CNNVD-202305-764

CVE-2023-24899

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24899

5

Microsoft Windows NFS Portmapper 安全漏洞

CNNVD-202305-768

CVE-2023-24901

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24901

6

Microsoft Windows Win32K 安全漏洞

CNNVD-202305-766

CVE-2023-24902

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24902

7

Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞

CNNVD-202305-770

CVE-2023-24903

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24903

8

Microsoft Windows Installer 安全漏洞

CNNVD-202305-771

CVE-2023-24904

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24904

9

Microsoft Remote Desktop Client 安全漏洞

CNNVD-202305-769

CVE-2023-24905

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24905

10

Microsoft Windows NFS Portmapper 安全漏洞

CNNVD-202305-761

CVE-2023-24939

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24939

11

Microsoft Windows PGM 安全漏洞

CNNVD-202305-750

CVE-2023-24940

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24940

12

Microsoft Windows Remote Procedure Call Runtime 安全漏洞

CNNVD-202305-748

CVE-2023-24942

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24942

13

Microsoft Windows Backup Engine 安全漏洞

CNNVD-202305-744

CVE-2023-24946

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24946

14

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202305-743

CVE-2023-24947

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24947

15

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202305-742

CVE-2023-24948

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24948

16

Microsoft Windows Kernel 安全漏洞

CNNVD-202305-741

CVE-2023-24949

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24949

17

Microsoft Excel 安全漏洞

CNNVD-202305-739

CVE-2023-24953

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24953

18

Microsoft SharePoint 安全漏洞

CNNVD-202305-737

CVE-2023-24955

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24955

19

Microsoft Lightweight Directory Access Protocol 安全漏洞

CNNVD-202305-735

CVE-2023-28283

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28283

20

Microsoft Windows OLE 安全漏洞

CNNVD-202305-731

CVE-2023-29325

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29325

21

Microsoft Word 安全漏洞

CNNVD-202305-730

CVE-2023-29335

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29335

22

Microsoft Windows Win32K 安全漏洞

CNNVD-202305-733

CVE-2023-29336

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336

23

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202305-727

CVE-2023-29340

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29340

24

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202305-726

CVE-2023-29341

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29341

25

Microsoft SysInternals 安全漏洞

CNNVD-202305-725

CVE-2023-29343

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29343

26

Microsoft Office 安全漏洞

CNNVD-202305-797

CVE-2023-29344

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29344

27

Microsoft Windows NTLM 安全漏洞

CNNVD-202305-763

CVE-2023-24900

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24900

28

Microsoft Windows Secure Boot 安全漏洞

CNNVD-202305-767

CVE-2023-24932

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932

29

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202305-746

CVE-2023-24944

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24944

30

Microsoft Windows iSCSI Target Service 安全漏洞

CNNVD-202305-745

CVE-2023-24945

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24945

31

Microsoft SharePoint 安全漏洞

CNNVD-202305-740

CVE-2023-24950

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24950

32

Microsoft SharePoint 安全漏洞

CNNVD-202305-738

CVE-2023-24954

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24954

33

Microsoft Windows Secure Boot 安全漏洞

CNNVD-202305-736

CVE-2023-28251

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28251

34

Microsoft Remote Desktop Client 安全漏洞

CNNVD-202305-734

CVE-2023-28290

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28290

35

Microsoft Windows MSHTML Platform 安全漏洞

CNNVD-202305-732

CVE-2023-29324

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29324

36

Microsoft Visual Studio Code 安全漏洞

CNNVD-202305-728

CVE-2023-29338

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29338

37

Microsoft Teams 安全漏洞

CNNVD-202305-829

CVE-2023-24881

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24881

38

Microsoft Office Access 安全漏洞

CNNVD-202305-729

CVE-2023-29333

低危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29333

此次更新共包括13个更新漏洞的补丁程序,其中超危漏洞1个,高危漏洞8个,中危漏洞4个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

Microsoft Windows 输入验证错误漏洞

CNNVD-201312-181

CVE-2013-3900

超危

http://technet.microsoft.com/en-us/security/bulletin/ms13-098

2

Microsoft Outlook 缓冲区错误漏洞

CNNVD-202104-839

CVE-2021-28452

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-28452

3

Microsoft Windows 竞争条件问题漏洞

CNNVD-202209-922

CVE-2022-26928

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26928

4

Microsoft Excel 安全漏洞

CNNVD-202211-2256

CVE-2022-41104

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41104

5

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3012

CVE-2022-41121

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41121

6

Microsoft Office Visio 安全漏洞

CNNVD-202301-760

CVE-2023-21738

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-21738

7

Microsoft Visual Studio Code 安全漏洞

CNNVD-202301-708

CVE-2023-21779

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-21779

8

Microsoft PostScript Printer Driver 安全漏洞

CNNVD-202303-1053

CVE-2023-24858

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24858

9

Microsoft Edge 输入验证错误漏洞

CNNVD-202303-1024

CVE-2023-24892

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24892

10

Microsoft Service Fabric 安全漏洞

CNNVD-202303-1016

CVE-2023-23383

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23383

11

Microsoft Excel 资源管理错误漏洞

CNNVD-202303-1033

CVE-2023-23396

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23396

12

Microsoft Excel 安全漏洞

CNNVD-202303-1038

CVE-2023-23398

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23398

13

Microsoft PostScript Printer Driver 安全漏洞

CNNVD-202303-1011

CVE-2023-24911

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24911

此次更新共包括1个影响微软产品的其他厂商漏洞的补丁程序,其中中危漏洞1个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

厂商

官方链接

1

AMD Processors 信息泄露漏洞

CNNVD-202207-986

CVE-2022-29900

中危

AMD

http://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1037

三、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

https://msrc.microsoft.com/update-guide/en-us

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。