Microsoft ออกแพตช์ประจำเดือนกันยายน อุด 2 ช่องโหว่ Zero-day

Microsoft ออกแพตช์ประจำเดือนกันยายน อุด 2 ช่องโหว่ Zero-day และช่องโหว่อื่นๆรวม 59 ตัว

Microsoft ได้ออกแพตช์ประจำเดือนกันยายน 2023 โดยเป็นการแพตช์ให้กับผลิตภัณฑ์หลายตัว เช่น Microsoft Windows, Microsoft .NET, Microsoft Exchange Server, Microsoft Office และ Visual Studio Code ประกอบด้วยช่องโหว่ 59 ตัว แบ่งตามชนิดของช่องโหว่ได้ดังนี้

• 3 Security Feature Bypass Vulnerabilities
• 24 Remote Code Execution Vulnerabilities
• 9 Information Disclosure Vulnerabilities
• 3 Denial of Service Vulnerabilities
• 5 Spoofing Vulnerabilities
• 5 Edge – Chromium Vulnerabilities

สำหรับช่องโหว่สำคัญคือ ช่องโหว่โหว่ Zero-day จำนวน 2 ตัว ได้แก่ CVE-2023-36802 ซึ่งเกิดขึ้นใน Microsoft Streaming Service Proxy ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิเป็นระดับ SYSTEM privileges ได้ และ CVE-2023-36761 ช่องโหว่ชนิด Information Disclosure ที่เกิดขึ้นใน Microsoft Word ทำให้ผู้โจมตีสามารถขโมย NTLM hash เมื่อเหยื่อทำการเปิดเอกสารได้ ปัจจุบันมีรายงานการโจมตีจากทั้งสองช่องโหว่แล้ว ผู้ดูแลระบบควรอัปเดตทันที

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2023-patch-tuesday-fixes-2-zero-days-59-flaws/