2023年6月安全更新程序（月例）

2023年6月13日（美国时间），微软发布了安全更新程序，以修复影响微软产品的漏洞。受影响产品的用户应尽快应用这些安全更新程序。微软产品默认启用自动更新（部分例外除外），安全更新程序会自动应用。最新信息请查看安全更新程序指南。

本月“恶意软件删除工具”未添加新的应对家族。

安全更新程序、安全公告的主要注意事项

本月安全更新程序修复的漏洞中，以下漏洞的CVSS基本值为9.8，评分较高，且无需认证或用户操作即可被利用。存在这些漏洞的产品及可利用条件，请参考各CVE页面的“常见问题”。安全更新程序发布前，漏洞信息未公开，漏洞未被利用，但鉴于漏洞特性，企业组织应尽快进行风险评估并应用安全更新程序。

• CVE-2023-29357 Microsoft SharePoint Server特权提升漏洞
• CVE-2023-29363 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞
• CVE-2023-32015 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞
• CVE-2023-32014 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞

本月安全更新程序实施了安全强化，以保护系统免受漏洞影响。受影响环境的用户请参考漏洞页面和支持技术信息，提前确认安全强化是否导致组织兼容性问题。

• CVE-2022-38023 : KB5021130: 管理CVE-2022-38023相关Netlogon协议更改的方法
• CVE-2022-37967 : KB5020805: 管理CVE-2022-37967相关Kerberos协议更改的方法

部署Microsoft Exchange更新程序的指南，请参考Microsoft Exchange团队博客Released: June 2023 Exchange Server Security Updates。

安全更新程序的已知问题，请参考各安全更新程序的支持技术信息。已知问题的支持技术信息列表，请查看2023年6月安全更新程序发行说明。

[2023年6月16日 追加] 6月15日（美国时间），发布了修复Microsoft SQL Server漏洞的更新程序。受影响用户应尽快应用更新程序。详情请查看以下漏洞页面及SQL团队博客。

• CVE-2023-29349 Microsoft ODBC和OLE DB远程代码执行漏洞
• CVE-2023-29356 SQL Server用Microsoft ODBC驱动程序远程代码执行漏洞
• CVE-2023-32025 SQL Server用Microsoft ODBC驱动程序远程代码执行漏洞
• CVE-2023-32026 SQL Server用Microsoft ODBC驱动程序远程代码执行漏洞
• CVE-2023-32027 SQL Server用Microsoft ODBC驱动程序远程代码执行漏洞
• CVE-2023-32028 Microsoft OLE DB远程代码执行漏洞

2023年6月发布安全更新程序的产品、组件列表

2023年6月13日（美国时间）发布安全更新程序的产品及组件列表，请查看2023年6月安全更新程序发行说明。

2023年6月安全更新程序列表

2023年6月13日（美国时间）发布的安全更新程序列表如下。最新信息请查看安全更新程序指南。

现有漏洞信息更新

2023年6月13日（美国时间），更新了7个现有漏洞。

• CVE-2021-34527 : Windows打印后台处理程序远程代码执行漏洞
  添加了Windows 10 Version 21H2、Windows 11 Version 21H2、Windows Server 2022所有支持版本到此漏洞的“安全更新程序”列表。运行这些版本Windows的用户建议安装所列更新程序或更新版本以保护免受此漏洞影响。安装这些更新程序后，请遵循此CVE文档中的建议。本次修订删除了支持终止的产品。

• CVE-2023-24880 : Windows SmartScreen安全功能绕过漏洞
  更新了受影响产品的CVSS评分。此为仅信息变更。

• CVE-2022-37967 : Windows Kerberos特权提升漏洞
  微软宣布发布解决此漏洞的Windows安全更新程序第三阶段。这些更新程序通过将KrbtgtFullPacSignature子键值设置为0，移除禁用PAC签名添加的功能。微软强烈建议安装6月更新程序以完全保护免受此漏洞影响。详情请查看管理CVE-2022-37967相关Kerberos和Netlogon协议更改的方法。设置为接收自动更新的Windows设备用户无需进一步操作。

• CVE-2022-38023 : Netlogon RPC特权提升漏洞
  更新了FAQ信息。此为仅信息变更。

• CVE-2023-23383 : Service Fabric Explorer冒充漏洞
  添加了FAQ信息。本次更新为仅信息变更。

• CVE-2023-23396 : Microsoft Excel服务拒绝漏洞
  添加了FAQ信息。本次更新为仅信息变更。

• CVE-2023-23398 : Microsoft Excel冒充漏洞
  添加了FAQ信息。本次更新为仅信息变更。

新安全公告发布

本月未发布新安全公告。

现有安全公告更新

2023年6月13日（美国时间），更新了1个现有公告。

• ADV990001 最新服务堆栈更新程序
  公告更新以通知新版本服务堆栈更新程序可用。详情请查看FAQ。

补充信息

• 最新服务堆栈更新程序（SSU），请查看公告ADV990001。
• Microsoft Edge（基于Chromium）的安全信息发布计划与月例发布不同，请在安全更新程序指南中选择Microsoft Edge（基于Chromium）查看，或查看Edge安全发布信息。
• 各漏洞信息（CVE）页面可能包含缓解措施、规避措施、注意事项及常见问题等附加信息。应用安全更新程序前请一并确认。
• 最新信息请查看安全更新程序指南。安全更新程序指南可按CVE、KB编号、产品或发布日期排序和筛选漏洞及更新程序信息。筛选每月安全更新程序，请指定每月第二个周二作为日期范围搜索。此外，可利用安全更新程序指南API创建自定义报告。公开了6个介绍API使用方法的视频（API信息（GitHub）、API访问、HTML文件输出、导出到Excel、获取CVE列表、获取KB列表），请积极利用。
• 微软更新了安全更新程序新信息和更新信息的通知方式，以便用户及时接收。尚未订阅或仅通过邮件接收通知的用户，请借此机会通过以下任一方式注册。
  • 通知方法1 创建配置文件：安全更新程序指南的通知系统：立即创建配置文件
  • 通知方法2 RSS订阅：安全更新程序通知与交付改进 – 新交付方法：详情
• 下次安全更新程序发布计划为2023年7月11日（美国时间）。详情请查看年度计划。

更新历史

• 2023年6月16日：追加发布了修复Microsoft SQL Server漏洞的更新程序。