在这一星期有微软、SPA等每月例行安全更新修补释出需要注意,特别要关切的是,当中包含5个零时差漏洞修补,同时还有更多已知漏洞遭利用的情形,我们持续提醒企业修补要及时,别成为受害者。
(一)有3个已遭利用零时差漏洞,以及2个细节已公开的零时差漏洞。状态如下:
微软发布11月例行更新,修补63个漏洞中有5个零时差漏洞,其中3个修补发布时已遭锁定利用,包括:位于桌面视窗管理员(DWM)核心程式库的漏洞CVE-2023-36033,涉及Windows SmartScreen安全功能绕过的漏洞CVE-2023-36025,档案系统驱动程式CldFlt的漏洞CVE-2023-3603,另2个零时差漏洞相关细节已被公开,幸好修补释出前没有被利用的消息。
(二)有多个已知漏洞,近期确认有遭攻击者利用的消息,是我们整理这星期内容时新发现、资安日报尚未提及。
●微软上个月10月修补涉及MOTW安全功能绕过的漏洞CVE-2023-36584
●Juniper今年9月修补EX、SRX产品的5个可串联漏洞CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847、CVE-2023-36851
●Sophos今年4月修补上网安全闸道系统Web Appliance漏洞CVE-2023-1671
●甲骨文在2020年修补Oracle Fusion Middleware的漏洞CVE-2020-14750