微软周二发布的 2023 年最终补丁：修复了 33 个缺陷，其中包括 4 个严重缺陷

微软发布了 2023 年最后一组周二补丁更新，消除了软件中的33 个缺陷，使其成为近年来最轻的版本之一。

在 33 个缺陷中，有 4 个缺陷的严重程度被评为“严重”，29 个缺陷的严重程度被评为“重要”。自 2023 年 11 月发布周二补丁更新以来，微软在其基于 Chromium 的 Edge 浏览器中修复了18 个缺陷，此外还修复了这些缺陷。

根据零日计划的数据，这家软件巨头今年已修补了 900 多个缺陷，使其成为微软补丁最繁忙的年份之一。作为比较，雷德蒙德在 2022 年解决了 917 个 CVE。

虽然在发布时没有任何漏洞被列为公开已知或受到主动攻击，但下面列出了一些值得注意的漏洞 -

CVE-2023-35628（CVSS 评分：8.1）- Windows MSHTML 平台远程代码执行漏洞
CVE-2023-35630（CVSS 评分：8.8）- Internet 连接共享 (ICS) 远程代码执行漏洞
CVE-2023-35636（CVSS 评分：6.5）- Microsoft Outlook 信息泄露漏洞
CVE-2023-35639（CVSS 评分：8.8）- Microsoft ODBC 驱动程序远程代码执行漏洞
CVE-2023-35641（CVSS 评分：8.8）- Internet 连接共享 (ICS) 远程代码执行漏洞
CVE-2023-35642（CVSS 评分：6.5）- Internet 连接共享 (ICS) 拒绝服务漏洞
CVE-2023-36019（CVSS 评分：9.6）- Microsoft Power Platform 连接器欺骗漏洞
CVE-2023-36019 也很重要，因为它允许攻击者向目标发送特制的 URL，从而导致在受害者计算机上的浏览器中执行恶意脚本。
微软在一份通报中表示：“攻击者可以操纵恶意链接、应用程序或文件，将其伪装成合法链接或文件来欺骗受害者。”

微软的周二补丁更新还修复了动态主机配置协议（DHCP）服务器服务中的三个缺陷，这些缺陷可能导致拒绝服务或信息泄露 -

CVE-2023-35638（CVSS 评分：7.5）- DHCP 服务器服务拒绝服务漏洞
CVE-2023-35643（CVSS 评分：7.5）- DHCP 服务器服务信息泄露漏洞
CVE-2023-36012（CVSS 评分：5.3）- DHCP 服务器服务信息泄露漏洞
此次披露的同时，Akamai 还发现了一组针对使用 Microsoft 动态主机配置协议 ( DHCP ) 服务器的 Active Directory 域的新攻击。

Ori David在上周的一份报告中表示：“这些攻击可能允许攻击者欺骗敏感的 DNS 记录，从而导致从凭证盗窃到整个 Active Directory 域泄露等各种后果。” “这些攻击不需要任何凭据，并且可以使用Microsoft DHCP 服务器的默认配置。”

该网络基础设施和安全公司进一步指出，这些缺陷的影响可能非常严重，因为它们可被利用来欺骗 Microsoft DNS 服务器上的 DNS 记录，包括未经身份验证的任意 DNS 记录覆盖，从而使攻击者能够获得计算机中的计算机。 - 域中主机的中间位置并访问敏感数据。

微软在回应调查结果时表示，“问题要么是设计使然，要么不够严重，无法修复”，因此用户必须在不需要时禁用 DHCP DNS 动态更新，并避免使用 DNSUpdateProxy。