尊敬的万叁用户,
您好!
微软公司最近发布了2023年5月的例行安全更新公告,共涉及漏洞数49个,严重漏洞6个。本次发布涉及 Microsoft Office、Microsoft Graphics、Microsoft Bluetooth Driver、Windows Secure Boot、Windows Secure Socket Tunneling Protocol (SSTP)、Windows Win32K 等产品和相关组件的安全更新。
为避免您的业务受影响,我们建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
在此次公告中以下漏洞微软用户可重点关注:
Windows Win32k 本地权限提升漏洞(CVE-2023-29336):
据官方描述,漏洞存在于 Windows 核心库 Win32k 中,具有本地访问权限的攻击者可以利用该漏洞获得系统的 SYSTEM 权限。目前该漏洞被官方标记为已发现在野利用。
Windows Network File System 远程代码执行漏洞(CVE-2023-24941):
据官方描述,未经身份验证的攻击者通过 Windows Network File System(NFS)服务经特殊调用来实现远程执行任意代码。该漏洞被官方标记为很有可能被攻击者利用。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可获取系统权限、远程执行任意代码等危害
影响版本
CVE-2023-29336:
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
CVE-2023-24941:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
安全版本
微软2023年5月最新补丁
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://msrc.microsoft.com/update-guide/releaseNote/2023-May
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29336
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24941