近日，微軟發(fā)布了2023年10月的補丁更新，解決了其軟件中的103個漏洞。

在這103個漏洞中，有13個的評級為嚴(yán)重漏洞，90個被評為重要漏洞。自9月12日以來，谷歌已經(jīng)解決了基于chrome的Edge瀏覽器的18個安全漏洞。

這些漏洞中，有兩個漏洞已被積極利用，具體如下：

• CVE-2023-36563 (CVSS評分:6.5)-微軟寫字板中的信息泄露漏洞，可能導(dǎo)致NTLM散列泄露
• CVE-2023-41763 (CVSS得分:5.3)- Skype for Business中的特權(quán)升級漏洞，可能導(dǎo)致敏感信息(如IP地址或端口號)暴露，使威脅行為者能夠訪問內(nèi)部網(wǎng)絡(luò)。

微軟方面曾在CVE-2023-36563的咨詢中表示：攻擊者要想利用這個漏洞，首先必須登錄到系統(tǒng)。然后，再運行一個特制的應(yīng)用程序，再利用該漏洞控制受影響的系統(tǒng)。

此外，攻擊者還可以說服本地用戶打開惡意文件，通過電子郵件或即時消息的誘導(dǎo)，說服用戶點擊鏈接，然后讓他們打開專門制作的文件。

此外，微軟還解決了影響Microsoft Message Queuing（MSMQ）和Layer2Tunneling Protocol的多個漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行和DoS。此次安全更新還解決了Windows IIS Server中的一個嚴(yán)重特權(quán)升級漏洞（CVE-2023-36434，CVSS評分為9.8），可能允許攻擊者通過暴力攻擊冒充并登錄其他用戶。

這家科技巨頭還發(fā)布了CVE-2023-44487的更新，也被稱為HTTP/2快速重置攻擊，該攻擊已被黑客用以發(fā)起DDoS攻擊。

微軟方面表示，雖然這種 DDoS 攻擊有可能影響服務(wù)的可用性，但它本身不會導(dǎo)致客戶數(shù)據(jù)泄露，而且目前還沒有看到客戶數(shù)據(jù)被泄露的證據(jù)。

最后，微軟宣布之前那些被用以傳播惡意軟件的 Visual Basic 腳本（又名 VBScript）將被棄用。在未來的 Windows 版本中，VBScript 在從操作系統(tǒng)中刪除之前，將作為一項功能按需提供。