マイクロソフトの12月 2023 火曜日のパッチ: 一年を締めくくる
マイクロソフトは別れを告げる 2023 最終的なもので 火曜日のパッチ 更新, アドレッシング 33 ソフトウェアの欠陥. 著しく, このリリースは近年で最も軽量なリリースの 1 つです, 4つのクリティカルと 29 重要度が定められた重要な修正.
特に, これらのアップデートは、企業の次の取り組みに続いて行われます。 18 11月以来、ChromiumベースのEdgeブラウザに欠陥があった 2023 パッチ火曜日リリース.
控えめな数にもかかわらず, このソフトウェア巨人は、以下の分野で非常に活発に活動しています。 2023, アドレス指定 900 欠陥, 今年は Microsoft のパッチが非常に忙しい年になりました. これを大局的に考えると, レドモンドは解決しました 917 CVE 2022.
対処された脆弱性は現在、公に知られている、または活発な攻撃を受けているとしてリストされていません。, いくつかの注目すべきものが際立っています:
主要な脆弱性
- CVE-2023-35628 (CVSS 8.1) – Windows MSHTML プラットフォームのリモート コード実行の脆弱性
- CVE-2023-35630 (CVSS 8.8) – インターネット接続の共有 (ICS) リモートでコードが実行される脆弱性
- CVE-2023-35636 (CVSS 6.5) – Microsoft Outlook の情報漏えいの脆弱性
- CVE-2023-35639 (CVSS 8.8) – Microsoft ODBC ドライバーのリモート コード実行の脆弱性
- CVE-2023-35641 (CVSS 8.8) – インターネット接続の共有 (ICS) リモートでコードが実行される脆弱性
- CVE-2023-35642 (CVSS 6.5) – インターネット接続の共有 (ICS) サービス拒否の脆弱性
- CVE-2023-36019 (CVSS 9.6) – Microsoft Power Platform コネクタのスプーフィングの脆弱性
CVE-2023-36019 は、攻撃者が特別に細工された URL を送信できるようにするため、特に注目に値します。, 被害者のブラウザで悪意のあるスクリプトを実行する.
DHCP サーバー サービスの脆弱性
Microsoft の Patch Tuesday は、Dynamic Host Configuration Protocol の 3 つの欠陥にも対処しています (DHCP) サーバーサービス, サービス妨害や情報漏洩につながる可能性がある.
- CVE-2023-35638 (CVSS 7.5) – DHCP サーバー サービスのサービス拒否の脆弱性
- CVE-2023-35643 (CVSS 7.5) – DHCP サーバー サービスの情報漏えいの脆弱性
- CVE-2023-36012 (CVSS 5.3) – DHCP サーバー サービスの情報漏えいの脆弱性
Akamai による最近の発見では、Microsoft DHCP サーバーを使用した Active Directory ドメインに対する新たな攻撃が明らかになりました, 攻撃者が機密の DNS レコードを偽装できるようにする, 認証情報の盗難や Active Directory ドメイン全体の侵害につながる可能性があります.
に応じて, Microsoft では、必要がない場合は DHCP DNS 動的更新を無効にし、DNSUpdateProxy の使用を避けることを推奨しています。.
結論としては 2023, セキュリティ上の懸念に対処しているのは Microsoft だけではありません. 多数のベンダー, アドビを含む, アマゾンウェブサービス, シスコ, WordPress, と他の多く, 過去数週間にわたって、さまざまなソフトウェアやサービスにわたる脆弱性に対処するためのセキュリティ アップデートをリリースしてきました。. この共同の取り組みは、デジタル環境全体のサイバーセキュリティを強化するための継続的な取り組みを強調しています。.