Microsofts månatliga säkerhetsuppdateringar för augusti 2023

Sårbarhet Microsoft patchtisdag

Microsoft har släppt sina månatliga säkerhetsuppdateringar för augusti månad. Uppdateringen rättar 74 sårbarheter varav sex anses kritiska. [1]

Microsoft varnar för att två av sårbarheterna som adresseras i uppdateringen har utnyttjats som nolldagssårbarheter. En av dessa är en så kallad Office Defence in Depth-uppdatering som förhindrar att angripare utnyttjar en sårbarhet (CVE-2023-36884) som rättades i juli. Sårbarheten gör det möjligt för en angripare att med hjälp av specialutformade Microsoft Office-dokument att kringgå säkerhetsfunktionen Mark of the Web i Windows och på så sätt lura användaren att öppna filer med skadlig kod utan att få en säkerhetsvarning. Den andra är en sårbarhet (CVE-2023-38180) i ASP .NET som kan utnyttjas för överbelastningsangrepp mot .NET-applikationer och Visual Studio. [2, 3]

Utöver dessa rättas sex kritiska sårbarheter i Microsoft Outlook, Microsoft Teams samt i operativsystemfunktionen Microsoft Message Queuing som gör det möjligt att fjärrköra skadlig kod på sårbara system. En av de sex sårbarheter som rättats i Microsoft Exchange Server har av Microsoft bedömts som viktig (important) trots att den får CVSS-klassningen 9,8 (CVE-2023-21709). Skälet som Microsoft anger är att framgångsrika angrepp är mindre sannolika då de förutsätter så kallade brute force-angrepp.

Uppdatering 2023-08-11

Microsoft har tillfälligt dragit tillbaka säkerhetsuppdateringen för Exchange Server gällande icke engelskspråkiga versioner. Detta efter att problem med installationen upptäckts. [4]

Påverkade produkter

För en komplett lista över produkter som uppdateras denna månad, se [1].

Rekommendationer

CERT-SE rekommenderar att snarast installera säkerhetsuppdateringarna, samt att i övrigt följa Microsofts rekommendationer.

Källor

[1] https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV230003

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180

[4] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811