2023年8月安全更新程序（月度）| MSRC博客

日本安全团队 · 2023年8月8日 · 18分钟阅读

2023年8月8日（美国时间），微软发布了安全更新程序，用于修复影响微软产品的安全漏洞。请受影响产品的客户尽快应用已发布的安全更新程序。请注意，除部分例外情况外，微软产品默认启用自动更新，安全更新程序将自动应用。最新信息请查看安全更新程序指南。

本月「恶意软件删除工具」未新增任何恶意软件家族。

安全更新程序与安全公告的主要注意事项

本月安全更新程序修复的漏洞中，以下漏洞在更新发布前已被公开披露或确认存在恶意利用。请客户尽快应用更新程序。各CVE详情请参阅相应页面：

• CVE-2023-38180 .NET与Visual Studio拒绝服务漏洞
• ADV230003 Microsoft Office纵深防御更新
• ADV230004 内存完整性系统就绪扫描工具纵深防御更新

以下漏洞CVSS基础评分为9.8分，无需认证或用户交互即可被利用。企业组织需尽快进行风险评估并应用安全更新：

• CVE-2023-21709 Microsoft Exchange服务器权限提升漏洞
• CVE-2023-35385 Microsoft消息队列远程代码执行漏洞
• CVE-2023-36910 Microsoft消息队列远程代码执行漏洞
• CVE-2023-36911 Microsoft消息队列远程代码执行漏洞

特别提醒：CVE-2023-21709漏洞修复需在安装更新后执行额外配置步骤，详情参见CVE-2023-21709及Exchange团队博客。

已知问题请查阅各安全更新的支持技术文档，列表发布于2023年8月安全更新发布说明。

(8月16日更新) 已修复非英语版Exchange Server的安装问题，请客户重新下载更新程序。

2023年8月安全更新覆盖产品列表

完整产品及组件列表请参阅2023年8月安全更新发布说明。

2023年8月安全更新清单

现有漏洞信息更新

2023年8月8日更新了1个现有漏洞：

• CVE-2023-36884 Windows搜索安全功能绕过漏洞：新增受影响Windows产品及更新链接，修正FAQ信息。Office更新详见ADV230003。

新安全公告发布

2023年8月8日发布2项新公告：

• ADV230003 Microsoft Office纵深防御更新
• ADV230004 内存完整性系统就绪扫描工具更新：修复资源段缺失问题，详情参见内存完整性与VBS驱动程序兼容性。

现有安全公告更新

2023年8月8日更新3项现有公告：

• ADV230001 微软签名驱动程序滥用指南：将不受信任驱动及证书加入吊销列表
• ADV190023 LDAP通道绑定与签名启用指南：新增Windows Server 2022客户端审计功能
• ADV990001 最新服务堆栈更新（SSU）：发布新版本

补充信息

• 最新服务堆栈更新（SSU）详见ADV990001
• Microsoft Edge（基于Chromium）更新周期独立，请通过安全更新指南筛选或查看Edge安全发布
• 各CVE页面包含缓解措施、变通方案及常见问题
• 可通过安全更新指南API生成自定义报告，提供6个教程视频
• 新增两种通知方式：
  1. 创建配置文件
  2. RSS订阅

下次安全更新计划于2023年9月12日（美国时间）发布，详见年度计划。

更新历史

• 2023-08-09：初始发布
• 2023-08-09：追加CVE-2023-21709需额外步骤说明
• 2023-08-10：追加Exchange服务器更新说明
• 2023-08-16：追加Exchange服务器更新修正说明
• 2023-08-31：修正“2023年8月安全更新清单”表格