微軟在 10 月份的修補程式更新了兩個受到主動攻擊的零日安全漏洞，受影響的軟體包含Microsoft WordPad 和 Skype for Business。

 

第一個受到攻擊的問題是CVE-2023-36563，這是WordPad程序中的一個資訊洩露錯誤，可能會通過暴露 NTLM 的Hash值來打開NTLM 中繼攻擊的大門。

另一個受到攻擊的問題是 Skype for Business 中的CVE-2023-41763，此漏洞已被列為資訊揭露問題，攻擊者可以透過向目標 Skype for Business 伺服器發起特製網路呼叫來利用此漏洞。此操作可能會導致解析發送到任意位址的 HTTP 請求，從而可能洩露 IP 位址和連接埠號碼。

 

建議措施：

立即更新微軟於2023年10月10日所發布的修補軟體，包含WordPad 修補程式：Windows Server 2012 R2 (Server Core installation)：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563，以及Skype修補程式： 2023年10月10日Skype for Business Server 2019 CU7：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-41763

 

 

資料來源：Darkreading & National Institute of Standards and Technology

 

如果您希望獲得完整資訊，請您填寫基本資料：https://www.surveycake.com/s/AwNMO