2023 年 11 月安全更新程序 (月度) | MSRC 博客
日本安全团队
2023 年 11 月 14 日 · 17 分钟阅读
2023 年 11 月 14 日(美国时间),微软发布了安全更新程序,以修复影响微软产品的漏洞。受影响产品的客户应尽快应用已发布的安全更新程序。请注意,除部分例外情况外,微软产品默认启用自动更新,安全更新程序将自动应用。最新信息请查看安全更新指南。
本月“恶意软件删除工具”新增了可删除的恶意软件。详细信息请参考目标恶意软件家族。
安全更新程序和安全公告的主要注意事项
本月安全更新程序修复的漏洞中,以下漏洞在更新发布前已被确认公开披露或利用。客户应尽快应用更新程序。漏洞详细信息请参考各 CVE 页面。
- CVE-2023-36413 Microsoft Office 安全功能绕过漏洞
- CVE-2023-36038 ASP.NET Core 拒绝服务漏洞
- CVE-2023-36033 Windows DWM 核心库特权提升漏洞
- CVE-2023-36036 Windows Cloud Files Mini Filter 驱动程序特权提升漏洞
- CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞
本月修复的漏洞中,CVE-2023-36028 Microsoft Protected Extensible Authentication Protocol (PEAP) 远程代码执行漏洞和 CVE-2023-36397 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞的 CVSS 基本评分为 9.8,属于无需认证或用户操作即可利用的高危漏洞。受影响产品及利用条件请参考各 CVE 页面的“常见问题”。尽管漏洞信息未提前公开或利用,但鉴于其特性,企业组织应尽快进行风险评估和应用安全更新。
CVE-2023-36052 Azure CLI REST 命令信息泄露漏洞的详细信息已在博客中公开。更多信息请参考 Microsoft Security Response Center 博客。
Microsoft Exchange 更新程序部署指南请参考 Microsoft Exchange 团队博客。
安全更新程序的已知问题请参考各安全更新程序的支持技术文章。已知问题列表详见 2023 年 11 月安全更新程序发布说明。
2023 年 11 月发布安全更新程序的产品和组件列表
2023 年 11 月 14 日(美国时间)发布安全更新程序的产品和组件列表请查看 2023 年 11 月安全更新程序发布说明。
2023 年 11 月安全更新程序列表
2023 年 11 月 14 日(美国时间)发布的安全更新程序列表如下。最新信息请查看安全更新指南。
| 产品系列 | 最高严重性 | 最大影响 | 相关支持技术文章或支持网页 |
|---|---|---|---|
| Windows 11 v23H2, v22H2, v21H2 | 紧急 | 远程代码执行 | v23H2, v22H2 5032190, v21H2 5032192 |
| Windows 10 v22H2, v21H2 | 紧急 | 远程代码执行 | 5032189 |
| Windows Server 2022, 23H2(含 Server Core 安装) | 紧急 | 远程代码执行 | 5032198 |
| Windows Server 2019, 2016(含 Server Core 安装) | 紧急 | 远程代码执行 | Windows Server 2019 5032196, Windows Server 2016 5032197 |
| Microsoft Office | 重要 | 远程代码执行 | https://learn.microsoft.com/officeupdates |
| Microsoft SharePoint | 重要 | 远程代码执行 | https://learn.microsoft.com/officeupdates/sharepoint-updates |
| Microsoft Exchange Server | 重要 | 远程代码执行 | https://learn.microsoft.com/exchange, Released: November 2023 Exchange Server Security Updates |
| Microsoft .NET | 重要 | 特权提升 | https://learn.microsoft.com/dotnet |
| Microsoft Visual Studio | 重要 | 特权提升 | https://learn.microsoft.com/visualstudio |
| Microsoft Dynamics 365 | 重要 | 欺骗 | https://learn.microsoft.com/dynamics365 |
| Microsoft Azure 相关软件 | 紧急 | 远程代码执行 | https://learn.microsoft.com/azure |
| System Center | 重要 | 特权提升 | https://learn.microsoft.com/system-center |
现有漏洞信息更新
2023 年 11 月 14 日(美国时间)更新了 9 个现有漏洞。
-
CVE-2021-1730 Microsoft Exchange Server 欺骗漏洞
更新了常见问题信息。此为信息性变更。 -
CVE-2023-4863 Chromium: CVE-2023-4863 WebP 堆缓冲区溢出
更新了受影响的其他 Microsoft 产品信息。建议更新至 CVE 列表中最新版本的产品。 -
CVE-2023-36728 Microsoft SQL Server 拒绝服务漏洞
更新了安全更新程序链接。此为信息性变更。 -
CVE-2023-36796 Visual Studio 远程代码执行漏洞
-
CVE-2023-36794 Visual Studio 远程代码执行漏洞
-
CVE-2023-36793 Visual Studio 远程代码执行漏洞
-
CVE-2023-36792 Visual Studio 远程代码执行漏洞
微软重新发布了 KB5029366 以解决以下已知问题:使用 Microsoft Visual Studio 2015 Update 3 的客户在编译包含预编译头文件(PCH)并使用 /Gm 和 /ZI(编辑并继续)开关的构建时,可能会遇到“C2471”错误。建议安装此更新并删除所有已应用的缓解措施。详细信息请参考 KB5029366。 -
CVE-2023-38545 HackerOne: CVE-2023-38545 SOCKS5 堆缓冲区溢出
-
CVE-2023-38039 HackerOne: CVE-2023-38039 HTTP 头消耗所有内存
微软宣布 2023 年 11 月 14 日发布的 Windows 安全更新程序包含修复此漏洞的 curl 8.4.0。建议安装 2023 年 11 月 14 日的更新程序以获取最新版本的 curl。配置为接收自动更新的 Windows 设备无需额外操作。
新安全公告发布
本月未发布新的安全公告。
现有安全公告更新
2023 年 11 月 14 日(美国时间)更新了 1 个现有公告。
- ADV990001 最新服务堆栈更新程序
公告已更新以通知新版本服务堆栈更新程序的可用性。详细信息请参考常见问题。
补充信息
- 最新服务堆栈更新程序(SSU)请查看公告 ADV990001。
- Microsoft Edge(基于 Chromium)的安全信息发布计划与月度发布不同,请在安全更新指南中选择 Microsoft Edge(基于 Chromium)产品或查看 Edge 安全发布信息。
- 各漏洞信息(CVE)页面可能包含缓解措施、变通方案、注意事项和常见问题等附加信息。应用安全更新前请一并查看。
- 最新信息请查看安全更新指南。该指南支持按 CVE、KB 编号、产品或发布日期排序和筛选安全漏洞和更新信息。要筛选每月安全更新,请在日期范围中指定该月第二个星期二进行搜索。此外,可利用安全更新指南 API 创建自定义报告。我们发布了六个介绍 API 使用方法的视频(API 信息、访问 API、输出 HTML 文件、导出到 Excel、获取 CVE 列表、获取 KB 列表),欢迎使用。
- 微软更新了安全更新程序的通知方式,以确保客户及时接收新信息和更新信息。尚未订阅或仅通过电子邮件接收通知的用户,请选择以下方式之一进行注册:
- 通知方法 1:创建配置文件
安全更新指南通知系统 - 通知方法 2:RSS 订阅
安全更新通知和交付改进 – 新交付方法
- 通知方法 1:创建配置文件
下次安全更新程序计划于 2023 年 12 月 12 日(美国时间)发布。详细信息请查看年度计划。
2024 年年度计划已在安全更新程序发布计划(2024 年)中公开。