用户投稿微软于2023年10月10日发布了2023年第40周的安全更新,其中包含13个重要补丁,旨在修复Windows、Office和其他产品的安全漏洞。
这些补丁中,有两个被评为“重要”级别,其余为“关键”级别。关键级别的补丁通常意味着如果不及时安装,攻击者可能会利用这些漏洞远程执行代码,从而对系统造成严重影响。
微软还提醒用户,除了安装这些补丁之外,还应该采取其他安全措施,例如使用强密码、定期备份数据、避免点击可疑链接等,以保护自己的计算机和数据安全。
此次补丁日发布的补丁中,还包括一些针对特定漏洞的修复,例如CVE-2023-48516和CVE-2023-48517等。这些漏洞此前已经被公开披露,并受到了黑客组织的关注。
因此,微软建议所有用户及时安装这些补丁,以避免自己的计算机成为黑客攻击的目标。同时,企业用户也应该根据微软的指导,对系统进行全面的漏洞扫描和修复,以确保系统的安全性和稳定性。
相关内容:
快速导读
微软在八月的补丁星期二活动中修复了111个问题,包括多个关键漏洞和一个中等严重性缺陷。虽然目前没有报告这些漏洞被积极利用,但仍需保持警惕。一个关键漏洞涉及Windows Kerberos协议,编号CVE-2025-53779,CVSS评分为7.2,攻击者需先获得特定权限才能利用。更为严重的是CVE-2025-50165和CVE-2025-53766,评分分别为9.8/10,可能导致远程代码执行。CVE-2025-53766允许攻击者通过访问恶意网页执行代码,而CVE-2025-50165则可在查看特制JPEG图像时被利用。这些漏洞的潜在影响使得及时更新补丁成为维护安全的重要措施。
微软八月补丁星期二概述
微软的八月补丁星期二活动解决了其产品中的总共111个问题,其中包括十几个被分类为关键的漏洞和一个已公开的中等严重性缺陷。幸运的是,微软报告称,在八月识别的漏洞目前没有被积极利用。然而,保持谨慎是至关重要的,因为上个月的补丁同样声称没有活跃的利用,这在SharePoint漏洞等问题后来出现时引起了担忧。
漏洞详细信息
已知的漏洞之一涉及Windows Kerberos网络身份验证协议中的特权提升缺陷,追踪编号为CVE-2025-53779。该漏洞在十点制的通用漏洞评分系统(CVSS)中评分为7.2,微软认为利用的可能性“较低”。这一评估基于攻击者必须首先获得对委派的托管服务账户(dMSA)的明确权限进行身份验证的要求。根据微软的说法,利用此漏洞可能使攻击者获得域管理员权限,微软对此问题的披露给予了Akamai研究员Yuval Gordon的认可。
需要注意的关键缺陷
在关键缺陷中,CVE-2025-50165和CVE-2025-53766尤其令人担忧,因为它们可能导致远程代码执行(RCE),严重性评分为9.8/10。CVE-2025-53766源于Windows图形设备接口(GDI+)中的基于堆的缓冲区溢出,使得未经授权的攻击者能够通过网络执行代码。值得注意的是,利用该漏洞不需要在托管有缺陷的Web服务的系统上拥有任何权限,仅需访问恶意网页即可执行代码。此外,CVE-2025-50165可以在没有用户干预的情况下被利用,仅需在Office和第三方文件中查看经过特别制作的JPEG图像。鉴于这些漏洞可能带来的影响,关注补丁更新对于维护安全至关重要。
微信扫一扫打赏
支付宝扫一扫打赏
