Microsoft załatał łącznie 74 luki w swoim oprogramowaniu w ramach aktualizacji firmy Patch Tuesday na sierpień 2023 r., w porównaniu z obszernymi 132 lukami, które firma naprawiła w zeszłym miesiącu. Obejmuje to sześć krytycznych i 67 ważnych luk w zabezpieczeniach. Gigant technologiczny wydał również dwie szczegółowe aktualizacje zabezpieczeń dla pakietu Microsoft Office (ADV230003) oraz narzędzie do skanowania integralności pamięci (ADV230004).
Sześć krytycznych luk w dzisiejszych aktualizacjach to:
CVE-2023-36895 — Luka w zabezpieczeniach programu Microsoft Outlook umożliwiająca zdalne wykonanie kodu
Atakujący wykorzystuje lukę, uzyskując dostęp do systemu docelowego. Pomyślne wykorzystanie tej luki wymaga od użytkownika podjęcia działań, zanim luka będzie mogła zostać wykorzystana. Następuje całkowita utrata poufności, w wyniku której atakującemu zostają ujawnione wszystkie zasoby w komponencie, którego dotyczy problem.
CVE-2023-29328, CVE-2023-29330 — Luka w zabezpieczeniach usługi Microsoft Teams umożliwiająca zdalne wykonanie kodu
Luka w zabezpieczeniach jest często określana jako „możliwa do zdalnego wykorzystania” i może być traktowana jako atak możliwy do przeprowadzenia na poziomie protokołu, na hoście oddalonym o jeden lub więcej przeskoków sieciowych (np. przez jeden lub więcej routerów). Pomyślne wykorzystanie tej luki wymaga od użytkownika podjęcia pewnych działań, zanim luka będzie mogła zostać wykorzystana. Następuje całkowita utrata poufności, w wyniku której atakującemu zostają ujawnione wszystkie zasoby w komponencie, którego dotyczy problem. Alternatywnie uzyskuje się dostęp tylko do niektórych zastrzeżonych informacji, ale ujawnione informacje mają bezpośredni, poważny wpływ.
CVE-2023-35385, CVE-2023-36911, CVE-2023-36910 — Luka w zabezpieczeniach usługi kolejkowania wiadomości Microsoft umożliwiająca zdalne wykonanie kodu.
Ta luka w zabezpieczeniach jest często określana jako „możliwa do zdalnego wykorzystania” i może być traktowana jako atak możliwy do wykorzystania na poziomie protokołu, na hoście oddalonym o jeden lub więcej przeskoków sieciowych (np. przez jeden lub więcej routerów). Podatny na ataki system może zostać wykorzystany bez jakiejkolwiek interakcji ze strony jakiegokolwiek użytkownika. Następuje całkowita utrata poufności, w wyniku której atakującemu zostają ujawnione wszystkie zasoby w komponencie, którego dotyczy problem. Alternatywnie uzyskuje się dostęp tylko do niektórych zastrzeżonych informacji, ale ujawnione informacje mają bezpośredni, poważny wpływ.
Tag | CVE ID | Opis | Krytyczność |
.NET Core | CVE-2023-38178 | .NET Core and Visual Studio Denial of Service Vulnerability | Ważna |
.NET Core | CVE-2023-35390 | .NET and Visual Studio Remote Code Execution Vulnerability | Ważna |
.NET Framework | CVE-2023-36873 | .NET Framework Spoofing Vulnerability | Ważna |
ASP .NET | CVE-2023-38180 | .NET and Visual Studio Denial of Service Vulnerability | Ważna |
ASP.NET | CVE-2023-36899 | ASP.NET Elevation of Privilege Vulnerability | Ważna |
ASP.NET and Visual Studio | CVE-2023-35391 | ASP.NET Core SignalR and Visual Studio Information Disclosure Vulnerability | Ważna |
Azure Arc | CVE-2023-38176 | Azure Arc-Enabled Servers Elevation of Privilege Vulnerability | Ważna |
Azure DevOps | CVE-2023-36869 | Azure DevOps Server Spoofing Vulnerability | Ważna |
Azure HDInsights | CVE-2023-38188 | Azure Apache Hadoop Spoofing Vulnerability | Ważna |
Azure HDInsights | CVE-2023-35393 | Azure Apache Hive Spoofing Vulnerability | Ważna |
Azure HDInsights | CVE-2023-35394 | Azure HDInsight Jupyter Notebook Spoofing Vulnerability | Ważna |
Azure HDInsights | CVE-2023-36881 | Azure Apache Ambari Spoofing Vulnerability | Ważna |
Azure HDInsights | CVE-2023-36877 | Azure Apache Oozie Spoofing Vulnerability | Ważna |
Dynamics Business Central Control | CVE-2023-38167 | Microsoft Dynamics Business Central Elevation Of Privilege Vulnerability | Ważna |
Mariner | CVE-2023-35945 | Nieznana | Nieznana |
Memory Integrity System Readiness Scan Tool | ADV230004 | Memory Integrity System Readiness Scan Tool Defense in Depth Update | Umiarkowana |
Microsoft Dynamics | CVE-2023-35389 | Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability | Ważna |
Microsoft Edge (Chromium-based) | CVE-2023-38157 | Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability | Umiarkowana |
Microsoft Edge (Chromium-based) | CVE-2023-4068 | Chromium: CVE-2023-4068 Type Confusion in V8 | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4072 | Chromium: CVE-2023-4072 Out of bounds read and write in WebGL | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4071 | Chromium: CVE-2023-4071 Heap buffer overflow in Visuals | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4073 | Chromium: CVE-2023-4073 Out of bounds memory access in ANGLE | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4075 | Chromium: CVE-2023-4075 Use after free in Cast | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4074 | Chromium: CVE-2023-4074 Use after free in Blink Task Scheduling | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4076 | Chromium: CVE-2023-4076 Use after free in WebRTC | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4077 | Chromium: CVE-2023-4077 Insufficient data validation in Extensions | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4078 | Chromium: CVE-2023-4078 Inappropriate implementation in Extensions | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4070 | Chromium: CVE-2023-4070 Type Confusion in V8 | Nieznana |
Microsoft Edge (Chromium-based) | CVE-2023-4069 | Chromium: CVE-2023-4069 Type Confusion in V8 | Nieznana |
Microsoft Exchange Server | CVE-2023-38185 | Microsoft Exchange Server Remote Code Execution Vulnerability | Ważna |
Microsoft Exchange Server | CVE-2023-35388 | Microsoft Exchange Server Remote Code Execution Vulnerability | Ważna |
Microsoft Exchange Server | CVE-2023-35368 | Microsoft Exchange Remote Code Execution Vulnerability | Ważna |
Microsoft Exchange Server | CVE-2023-38181 | Microsoft Exchange Server Spoofing Vulnerability | Ważna |
Microsoft Exchange Server | CVE-2023-38182 | Microsoft Exchange Server Remote Code Execution Vulnerability | Ważna |
Microsoft Exchange Server | CVE-2023-21709 | Microsoft Exchange Server Elevation of Privilege Vulnerability | Ważna |
Microsoft Office | ADV230003 | Microsoft Office Defense in Depth Update | Umiarkowana |
Microsoft Office | CVE-2023-36897 | Visual Studio Tools for Office Runtime Spoofing Vulnerability | Ważna |
Microsoft Office Excel | CVE-2023-36896 | Microsoft Excel Remote Code Execution Vulnerability | Ważna |
Microsoft Office Excel | CVE-2023-35371 | Microsoft Office Remote Code Execution Vulnerability | Ważna |
Microsoft Office Outlook | CVE-2023-36893 | Microsoft Outlook Spoofing Vulnerability | Ważna |
Microsoft Office Outlook | CVE-2023-36895 | Microsoft Outlook Remote Code Execution Vulnerability | Critical |
Microsoft Office SharePoint | CVE-2023-36891 | Microsoft SharePoint Server Spoofing Vulnerability | Ważna |
Microsoft Office SharePoint | CVE-2023-36894 | Microsoft SharePoint Server Information Disclosure Vulnerability | Ważna |
Microsoft Office SharePoint | CVE-2023-36890 | Microsoft SharePoint Server Information Disclosure Vulnerability | Ważna |
Microsoft Office SharePoint | CVE-2023-36892 | Microsoft SharePoint Server Spoofing Vulnerability | Ważna |
Microsoft Office Visio | CVE-2023-35372 | Microsoft Office Visio Remote Code Execution Vulnerability | Ważna |
Microsoft Office Visio | CVE-2023-36865 | Microsoft Office Visio Remote Code Execution Vulnerability | Ważna |
Microsoft Office Visio | CVE-2023-36866 | Microsoft Office Visio Remote Code Execution Vulnerability | Ważna |
Microsoft Teams | CVE-2023-29328 | Microsoft Teams Remote Code Execution Vulnerability | Critical |
Microsoft Teams | CVE-2023-29330 | Microsoft Teams Remote Code Execution Vulnerability | Critical |
Microsoft WDAC OLE DB provider for SQL | CVE-2023-36882 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Ważna |
Microsoft Windows | CVE-2023-20569 | AMD: CVE-2023-20569 Return Address Predictor | Ważna |
Microsoft Windows Codecs Library | CVE-2023-38170 | HEVC Video Extensions Remote Code Execution Vulnerability | Ważna |
Reliability Analysis Metrics Calculation Engine | CVE-2023-36876 | Reliability Analysis Metrics Calculation (RacTask) Elevation of Privilege Vulnerability | Ważna |
Role: Windows Hyper-V | CVE-2023-36908 | Windows Hyper-V Information Disclosure Vulnerability | Ważna |
SQL Server | CVE-2023-38169 | Microsoft OLE DB Remote Code Execution Vulnerability | Ważna |
Tablet Windows User Interface | CVE-2023-36898 | Tablet Windows User Interface Application Core Remote Code Execution Vulnerability | Ważna |
Windows Bluetooth A2DP driver | CVE-2023-35387 | Windows Bluetooth A2DP driver Elevation of Privilege Vulnerability | Ważna |
Windows Cloud Files Mini Filter Driver | CVE-2023-36904 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Ważna |
Windows Common Log File System Driver | CVE-2023-36900 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Ważna |
Windows Cryptographic Services | CVE-2023-36907 | Windows Cryptographic Services Information Disclosure Vulnerability | Ważna |
Windows Cryptographic Services | CVE-2023-36906 | Windows Cryptographic Services Information Disclosure Vulnerability | Ważna |
Windows Defender | CVE-2023-38175 | Microsoft Windows Defender Elevation of Privilege Vulnerability | Ważna |
Windows Fax and Scan Service | CVE-2023-35381 | Windows Fax Service Remote Code Execution Vulnerability | Ważna |
Windows Group Policy | CVE-2023-36889 | Windows Group Policy Security Feature Bypass Vulnerability | Ważna |
Windows HTML Platform | CVE-2023-35384 | Windows HTML Platforms Security Feature Bypass Vulnerability | Ważna |
Windows Kernel | CVE-2023-35359 | Windows Kernel Elevation of Privilege Vulnerability | Ważna |
Windows Kernel | CVE-2023-38154 | Windows Kernel Elevation of Privilege Vulnerability | Ważna |
Windows Kernel | CVE-2023-35382 | Windows Kernel Elevation of Privilege Vulnerability | Ważna |
Windows Kernel | CVE-2023-35386 | Windows Kernel Elevation of Privilege Vulnerability | Ważna |
Windows Kernel | CVE-2023-35380 | Windows Kernel Elevation of Privilege Vulnerability | Ważna |
Windows LDAP – Lightweight Directory Access Protocol | CVE-2023-38184 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-36909 | Microsoft Message Queuing Denial of Service Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-35376 | Microsoft Message Queuing Denial of Service Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-38172 | Microsoft Message Queuing Denial of Service Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-35385 | Microsoft Message Queuing Remote Code Execution Vulnerability | Critical |
Windows Message Queuing | CVE-2023-35383 | Microsoft Message Queuing Information Disclosure Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-36913 | Microsoft Message Queuing Information Disclosure Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-35377 | Microsoft Message Queuing Denial of Service Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-38254 | Microsoft Message Queuing Denial of Service Vulnerability | Ważna |
Windows Message Queuing | CVE-2023-36911 | Microsoft Message Queuing Remote Code Execution Vulnerability | Critical |
Windows Message Queuing | CVE-2023-36910 | Microsoft Message Queuing Remote Code Execution Vulnerability | Critical |
Windows Message Queuing | CVE-2023-36912 | Microsoft Message Queuing Denial of Service Vulnerability | Ważna |
Windows Mobile Device Management | CVE-2023-38186 | Windows Mobile Device Management Elevation of Privilege Vulnerability | Ważna |
Windows Projected File System | CVE-2023-35378 | Windows Projected File System Elevation of Privilege Vulnerability | Ważna |
Windows Reliability Analysis Metrics Calculation Engine | CVE-2023-35379 | Reliability Analysis Metrics Calculation Engine (RACEng) Elevation of Privilege Vulnerability | Ważna |
Windows Smart Card | CVE-2023-36914 | Windows Smart Card Resource Management Server Security Feature Bypass Vulnerability | Ważna |
Windows System Assessment Tool | CVE-2023-36903 | Windows System Assessment Tool Elevation of Privilege Vulnerability | Ważna |
Windows Wireless Wide Area Network Service | CVE-2023-36905 | Windows Wireless Wide Area Network Service (WwanSvc) Information Disclosure Vulnerability | Ważna |