微软发布了 2023 年 10 月的补丁星期二更新,解决了其软件中的总共103 个缺陷,其中两个缺陷已被广泛利用。
- CVE-2023-36563 - Microsoft WordPad 信息泄露漏洞
此漏洞是被广泛利用的两个漏洞之一。成功利用该漏洞可能会导致 NTLM 哈希值泄露。Microsoft 未列出任何预览窗格矢量,因此需要用户交互。除了应用此补丁之外,您还应该考虑在 Windows 11 上阻止通过 SMB 的出站 NTLM。这一新功能尚未引起太多关注,但它可能会显着阻碍 NTLM 中继攻击。
- CVE-2023-41763 – Skype for Business 特权提升漏洞
这是本月受到主动攻击的另一个错误,它的行为更像是信息泄露,而不是特权升级。攻击者可能对受影响的 Skype for Business 服务器进行恶意调用,导致服务器将 HTTP 请求解析到任意地址。这可能会导致信息泄露,其中可能包括提供内部网络访问权限的敏感信息。
- CVE-2023-35349 - Microsoft 消息队列远程代码执行漏洞
这是本月 20 个(!)消息队列补丁之一,也是其中 CVSS 最高的一个(9.8)。未经身份验证的远程攻击者可以在服务级别执行任意代码,而无需用户交互。这使得这个错误很容易传播——至少在启用消息队列的系统上是这样。您绝对应该检查您的系统以查看它是否已安装,并考虑在您的外围阻止 TCP 端口 1801。
2023 年 10 月 Adobe 补丁
10 月份,Adobe 发布了三个公告,涉及 Adobe Photoshop、Bridge 和 Adobe Commerce 中的 13 个 CVE。其中总共三个 CVE 通过 ZDI 计划获得。Commerce的补丁是本月最大的补丁,解决了 10 个关键和重要的 CVE。其中最严重的可能允许通过 SQL 注入执行任意代码。Photoshop的更新修复了一个代码执行错误。攻击者需要说服用户使用 Photoshop 打开特制文件才能利用受影响的系统。
Adobe 本月修复的所有错误在发布时均未被列为公开已知或受到主动攻击。Adobe 将这些更新分类为部署优先级 3。
网络安全等级保护实施指南培训PPT
网络安全等级保护安全物理环境测评培训PPT
网络安全等级保护:等级保护测评过程要求PPT
网络安全等级保护:安全管理中心测评PPT
网络安全等级保护:安全管理制度测评PPT
网络安全等级保护:定级指南与定级工作PPT
网络安全等级保护:云计算安全扩展测评PPT
网络安全等级保护:工业控制安全扩展测评PPT
网络安全等级保护:移动互联安全扩展测评PPT
网络安全等级保护:浅谈物理位置选择测评项
信息安全服务与信息系统生命周期的对应关系
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
思维导图:ICT供应链安全风险管理指南思维导图
>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
Mozilla通过发布Firefox 111修补高危漏洞
Meta 开发新的杀伤链理论
最佳CISO如何提高运营弹性
联系客服