今年8月,微软、谷歌Chrome及其竞争对手Firefox发布了多个补丁,以解决一些严重问题,其中一些补丁被用于攻击。
虽然在撰写本文时苹果iPhone还没有更新,但本月发布了一些主要的企业修复程序。这些补丁包括针对Ivanti产品中被利用的漏洞的补丁,以及针对SAP和思科软件漏洞的修复。
请继续阅读您需要了解的有关8月份发布的补丁的所有信息。
微软
在微软8月发布的周二补丁中,这家软件巨头修复了数十个漏洞,其中包括两个已经被用于实际攻击的漏洞。首先是针对CVE-2023-36884的深度防御更新,这是Windows搜索中的一个远程代码执行(RCE)漏洞,可以让攻击者绕过微软的Web安全功能。如果这听起来很熟悉,那是因为微软已经在7月份修复了这个漏洞。但微软表示,安装最新的更新“阻止了导致该问题的攻击链”。
第二个漏洞CVE-2023-38180是。net和Visual Studio中的一个漏洞,它可能允许攻击者执行拒绝服务。
8月补丁星期二修复的六个问题被评为严重问题,包括Outlook电子邮件客户端的RCE漏洞cve -2023-36895。同时,根据安全更新指南,CVE-2023-35385、CVE-2023-36910和CVE-2023-36911是微软消息队列服务中的RCE问题。
微软在8月份修复的第五个和第六个关键问题是CVE-2023-29328和CVE-2023-29330,这两个问题都是Teams中的RCE缺陷。
谷歌Chrome
8月伊始,Chrome 115进行了一系列更新,其中9个被评为影响较大。这17个补丁包括V8的三个类型混淆漏洞:CVE-2023-4068、CVE-2023-4069和CVE-2023-4070。CVE-2023-4071是视觉中的堆缓冲区溢出问题,CVE-2023-4076是WebRTC的免费后使用缺陷。
几周后,谷歌发布了Chrome 116来修补26个漏洞,其中8个被评为具有高影响。最严重的问题包括cve -2023-2312(脱机后免费使用漏洞)和CVE-2023-4349(设备信任连接器中免费使用漏洞)。第三个漏洞,CVE-2023-4350,是全屏中不适当的实现漏洞。
然后,在8月23日,谷歌发布了第一个更定期的每周安全更新,修补了五个漏洞。被评为具有高影响的四个漏洞包括两个use-after-free错误和两个越界内存访问问题。
火狐
谷歌Chrome主打隐私的竞争对手Firefox也度过了一个忙碌的8月,修复了Firefox 116中的十多个漏洞。Firefox所有者Mozilla修复的问题包括CVE-2023-4045 (Offscreen Canvas中的一个被评为高级别的问题)和CVE-2023-4047(弹出通知延迟计算中的一个错误,可能允许攻击者欺骗用户授予权限)。
此次更新还修复了CVE-2023-4056、CVE-2023-4057和CVE-2023-4058等内存安全漏洞。Mozilla表示,在最新更新中修复的漏洞“显示出内存损坏的证据”。“我们认为,只要付出足够的努力,其中一些漏洞可能被利用来运行任意代码。”
谷歌安卓
谷歌发布了40个Android操作系统的更新,包括针对框架、系统和内核中的严重缺陷的补丁。8月份修复的最严重的漏洞为CVE-2023-21273,是系统组件中的一个关键安全漏洞,可能导致不需要额外执行权限的RCE。谷歌在其安卓安全公告中表示,用户交互不需要被利用。
同时,CVE-2023-21282是Media框架中的一个RCE缺陷,也被标记为具有严重影响。内核中的另一个关键问题(跟踪为CVE-2023-21264)可能导致本地权限升级,尽管需要系统执行权限。
该版本中修复的所有问题都没有被用于攻击,但有些问题相当严重,因此在可能的时候更新是有意义的。该更新适用于谷歌的Pixel设备以及包括Galaxy S23在内的三星智能手机。
Ivanti
IT软件制造商Ivanti在8月份发布了几个值得注意的补丁,包括修复了用于现实世界攻击的漏洞。跟踪为CVE-2023-35081, Ivanti Endpoint Manager Mobile (EPMM)(以前称为MobileIron core)中的路径遍历漏洞允许攻击者在web应用服务器上编写任意文件。根据美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)的警告,攻击者随后可以执行上传的文件,例如web shell。
“在得知这个漏洞后,我们立即调动了资源来解决问题,并提供了一个可用的补丁,”伊万蒂在一份咨询报告中说,“你必须立即采取行动,确保你得到充分的保护。”
该补丁是在挪威政府部门被另一个名为CVE-2023-35078的Ivanti EPMM漏洞攻击之后发布的。Ivanti表示,该漏洞可以与CVE-2023-35081结合使用,绕过管理员身份验证。
对于Ivanti来说,8月是多事的一个月,该公司还发现了Ivanti Sentry的一个漏洞,并表示该漏洞已被利用。该漏洞编号为CVE-2023-38035,允许未经身份验证的参与者访问用于在管理员门户(端口844)上配置Ivanti Sentry的敏感应用程序编程接口(api)。
虽然这个问题的CVSS评分为9.8分,但Ivanti表示,对于没有将端口8443暴露在互联网上的客户来说,“被利用的风险很低”。
思科
企业软件公司思科发布了针对其产品中多个漏洞的补丁,其中一些漏洞被评为严重漏洞。被跟踪为CVE-2023-20197, CVSS评分为7.5,最严重的问题之一是ClamAV的分层文件系统Plus的文件系统图像解析器中的漏洞,该漏洞可能允许未经身份验证的远程攻击者在受影响的设备上导致拒绝服务。
同时,在独立NX-OS模式下,Cisco Nexus 3000系列交换机和Cisco Nexus 9000系列交换机的Cisco NX-OS软件的中间系统到中间系统协议存在漏洞,可能允许未经身份验证的攻击者导致IS-IS进程意外重启并重新加载设备。
SAP
对于SAP来说,8月是一个多事的安全补丁日,该公司发布了一套新的修复程序,以解决其产品中的漏洞。SAP PowerDesigner中的多个漏洞已经修复,其中一个漏洞被跟踪为CVE-2023-37483, CVSS得分为9.8。安全公司onapsis表示:“唯一能阻止该漏洞被CVSS评为最高10分的是,在成功攻击期间,其范围保持不变。”
8月份修复的漏洞还包括CVE-2023-39437,这是SAP Business One的跨站点脚本漏洞。另一个高优先级修复是SAP businessojects商业智能套件中的二进制劫持补丁,该补丁被跟踪为CVE-2023-37490, CVSS得分为7.6。
