2023年10月安全更新程序(月例)
2023年10月10日(美国时间),微软发布了安全更新程序,以修复影响微软产品的漏洞。受影响产品的客户应尽快应用发布的安全更新程序。微软产品默认启用自动更新(除部分例外情况),安全更新程序将自动应用。最新信息请查看安全更新程序指南。
本月“恶意软件删除工具”新增了可删除的恶意软件。详细信息请参阅目标恶意软件家族。
安全更新程序、安全公告的主要注意事项
本月安全更新程序修复的漏洞中,以下漏洞在更新程序发布前已被确认存在公开利用或漏洞详细信息公开。客户应尽快应用更新程序。漏洞详细信息请参阅各CVE页面。
- CVE-2023-41763 Skype for Business 特权提升漏洞
- CVE-2023-36563 Microsoft WordPad 信息泄露漏洞
- CVE-2023-44487 MITRE: CVE-2023-44487 HTTP/2 Rapid Reset攻击
关于CVE-2023-44487的详细信息,请同时参考Microsoft Security Response Center博客《关于HTTP/2分布式拒绝服务(DDoS)攻击的微软应对措施》。
本月安全更新程序修复的漏洞中,CVE-2023-36434 Windows IIS Server特权提升漏洞及CVE-2023-35349 Microsoft Message Queuing远程代码执行漏洞的CVSS基本值为9.8,属于高分漏洞,无需认证或用户操作即可利用。存在这些漏洞的产品及可利用条件请参阅各CVE页面的“常见问题”。虽然漏洞信息在安全更新程序发布前未公开或未被利用,但鉴于漏洞特性,建议企业组织尽快进行风险评估并应用安全更新程序。
部署Microsoft Exchange更新程序的指南,请同时参考Microsoft Exchange团队博客《发布:2023年10月Exchange Server安全更新》。
安全更新程序的已知问题请参阅各安全更新程序的支持技术信息。已知问题的各安全更新程序支持技术信息列表刊登在《2023年10月安全更新程序发行说明》中。
2023年10月10日(美国时间),Windows Server 2012 / 2012 R2的支持已结束。继续使用这些产品可能会面临安全风险。使用支持结束产品的客户请考虑更新到最新版本。详细信息请参阅“Windows Server 2012及2012 R2支持结束”。
2023年10月发布安全更新程序的产品、组件列表
2023年10月10日(美国时间)发布安全更新程序的产品及组件列表,请查看《2023年10月安全更新程序发行说明》。
2023年10月安全更新程序列表
2023年10月10日(美国时间)发布的安全更新程序列表如下。最新信息请查看安全更新程序指南。
| 产品系列 | 最大严重性 | 最大影响 | 相关支持技术信息或支持网页 |
|---|---|---|---|
| Windows 11 v22H2, v21H2 | 紧急 | 远程代码执行 | v22H2 5031354, v21H2 5031358 |
| Windows 10 v22H2, v21H2 | 紧急 | 远程代码执行 | 5031356 |
| Windows Server 2022(含Server Core安装) | 紧急 | 远程代码执行 | 5031364 |
| Windows Server 2019, 2016(含Server Core安装) | 紧急 | 远程代码执行 | Windows Server 2019 5031361, Windows Server 2016 5031362 |
| Windows Server 2012 R2, Windows Server 2012(含Server Core安装) | 紧急 | 远程代码执行 | Windows Server 2012 R2月度汇总5031419, 仅安全5031407; Windows Server 2012月度汇总5031442, 仅安全5031427 |
| Microsoft Office | 重要 | 特权提升 | https://learn.microsoft.com/officeupdates |
| Microsoft Exchange Server | 重要 | 远程代码执行 | https://learn.microsoft.com/exchange, Released: October 2023 Exchange Server Security Updates |
| Microsoft .NET | 重要 | 服务拒绝 | https://learn.microsoft.com/dotnet |
| Microsoft Visual Studio | 重要 | 服务拒绝 | https://learn.microsoft.com/visualstudio |
| Microsoft Azure DevOps Server | 重要 | 特权提升 | https://learn.microsoft.com/azure/devops/server |
| Microsoft Dynamics 365 | 重要 | 信息泄露 | https://learn.microsoft.com/dynamics365 |
| Microsoft SQL Server | 重要 | 远程代码执行 | https://learn.microsoft.com/sql |
| Skype for Business Server | 重要 | 远程代码执行 | https://learn.microsoft.com/skypeforbusiness |
| Azure相关软件 | 重要 | 远程代码执行 | https://learn.microsoft.com/azure |
现有漏洞信息更新
2023年10月10日(美国时间),更新了6个现有漏洞。
-
CVE-2022-37967 Windows Kerberos特权提升漏洞
微软宣布发布第5阶段的安全更新程序以解决此漏洞。这些更新程序删除了注册表子项KrbtgtFullPacSignature的支持,并删除了审核模式的支持。此外,没有新PAC签名的所有服务票证将被拒绝认证。微软强烈建议安装2023年10月更新程序,并查看《管理CVE-2022-37967相关Kerberos及Netlogon协议更改的方法》以完全保护免受此漏洞影响。如果Windows设备配置为接收自动更新,则无需采取特殊措施,但请参阅文章以完全了解更新程序的影响。 -
CVE-2023-21709 Microsoft Exchange Server特权提升漏洞
添加了FAQ信息。本次更新仅为信息变更。 -
CVE-2023-36796 / CVE-2023-36794 / CVE-2023-36793 / CVE-2023-36792 Visual Studio远程代码执行漏洞
Microsoft Visual Studio 2013 Update 5及Visual Studio 2015 Update 3也受此漏洞影响,因此已添加到“安全更新程序”列表。如果运行任何这些产品,建议安装此更新程序以完全保护免受此漏洞影响。
新安全公告发布
本月未发布新的安全公告。
现有安全公告更新
2023年10月10日(美国时间),更新了2个现有公告。
-
ADV190023 启用LDAP通道绑定和LDAP签名的微软指南
微软发布了2023年10月10日的Windows Server 2022及Windows Server 2022(Server Core安装)更新程序,宣布管理员可以审核在Active Directory域控制器上使用LDAP通道绑定令牌时无法使用事件的客户端机器。此更新程序增加了在目录服务事件日志中启用事件源Microsoft-Windows-ActiveDirectory_DomainService的CBT事件3074及3075的功能。 -
ADV990001 最新服务堆栈更新程序
公告已更新,以通知新版本的服务堆栈更新程序可用。详细信息请参阅FAQ。
补充信息
最新服务堆栈更新程序(SSU)请查看公告ADV990001。
Microsoft Edge(基于Chromium)的安全信息发布计划与月例发布不同,请在安全更新程序指南中选择产品Microsoft Edge(基于Chromium)进行查看。或查看Edge的安全发布信息。
各漏洞信息(CVE)页面可能刊登有缓解措施、回避措施、注意事项及常见问题等附加信息。应用安全更新程序前请一并确认。
最新信息请查看安全更新程序指南。安全更新程序指南中,可以按CVE、KB编号、产品或发布日期排序或筛选安全漏洞及更新程序信息。筛选每月安全更新程序时,请指定每月第二个星期二作为日期范围进行搜索。此外,可以利用安全更新程序指南API创建自定义报告。我们公开了6个介绍API使用方法的视频(API信息(GitHub)、访问API、输出HTML文件、导出到Excel、获取CVE列表、获取KB列表),请务必利用。
微软更新了安全更新程序的新信息及更新信息的通知方法,以便客户及时接收。尚未订阅或仅通过电子邮件接收通知的客户,请借此机会通过以下任一方法进行注册。
- 通知方法1 创建配置文件的方法:安全更新程序指南的通知系统:立即创建配置文件
- 通知方法2 RSS订阅的方法:安全更新程序通知/交付的改进 – 关于新的交付方法
下次安全更新程序的发布计划于2023年11月14日(美国时间)进行。详细信息请参阅年度计划。