补丁星期二微软今天解决了其产品中列出的130个CVE漏洞，并其中的五个漏洞已经在野外被利用。

  IT巨头的本月补丁星期二批次中包含了安全更新和咨询的完整列表可以从这里找到，或者从ZDI的这里找到。简而言之，这些修复补丁适用于Windows、Office、Visual Studio、Azure Active Directory和DevOps、Dynamics、打印机驱动程序、雷蒙德的DNS服务器和远程桌面。

  在这130个漏洞中，有9个被认为是严重的，其余的许多也是相对严重的。让我们从正在被攻击的漏洞开始。

  首先是CVE-2023-36884：一种远程代码执行漏洞，能够最终靠恶意构造的Microsoft Office文件进行利用。让目标在受漏洞影响的计算机上打开这些文档将导致其计算机被入侵。

  关键是，CVE-2023-36884目前还没有补丁，微软告诉我们，可能会通过紧急更新或未来的定期补丁星期二提供补丁。微软提前公开了该漏洞的一些细节，因为据称一个名为Storm-0978的俄罗斯团队利用这个漏洞针对正在举行的北约峰会的与会者，该峰会讨论俄罗斯入侵乌克兰。

  据微软称，Storm-0978，也被称为RomCom和DEV-0978，已知进行机会主义勒索软件攻击，感染易受攻击的组织，以及利用特定目标来获取其访问凭证，以供俄罗斯情报使用。除了攻击政府的IT系统，Storm-0978据称还攻击了欧洲和美国的电信和金融组织。

  微软已经注意到有明确的目的性的攻击企图利用这些漏洞，利用特制的Microsoft Office文档，这家Windows巨头在其咨询中说。由于目前没有修复补丁，微软敦促人们使用一些老式的附件阻止方法。

  其他四个正在被利用的问题已有了可用的补丁，并方便地分为两类：软件安全功能绕过和权限提升问题。

  至于权限提升：MSHTML浏览器引擎中的CVE-2023-32046和Windows错误报告服务中的CVE-2023-36874。在浏览器引擎的情况下，欺骗目标打开一个特制的文件（例如电子邮件附件或嵌入在网页中的文件）就足以触发攻击。

  至于其他的漏洞，还有很多。从Microsoft Access和SharePoint Server中的远程代码执行漏洞（尽管需要身份验证），到各种内核级权限提升漏洞。检查您关心的产品的列表。

  苹果再次搞砸了快速安全响应巧合的是，苹果在补丁星期二的前一天发布了所谓的快速安全响应（RSR）补丁，用于修复iOS/iPadOS和macOS中的Webkit漏洞。

  不幸的是，这些补丁在阻止可能会引起易受攻击设备上执行任意代码的Web内容方面做得太好了，今天库比蒂诺告诉用户，如果他们发现无法查看网页内容，他们在大多数情况下要卸载RSR。

  苹果已经注意到最近的快速安全响应可能会阻止一些网站正常显示的问题，iMaker说。如果这能让你感觉好些的话，快速安全响应……将很快提供以解决这一个问题。

  这是苹果自今年开始发布这些更新以来发布的最新有问题的RSR。第一次尝试推出RSR时，多个用户报告了失败的修补尝试。

  石油和天然气行业的SAP用户应该进行补丁SAP在其7月批次的补丁中发布了18个安全更新，包括修复其面向石油和天然气行业的IS-OIL软件中的一个关键问题。

  这个漏洞的CVSS评分为10分中的9.1分，允许经过身份验证的攻击者将任意操作系统命令注入到有风险的部署中。信息安全公司Onapsis建议来修补，因为成功利用此漏洞对受影响的SAP系统的机密性、完整性和可用性产生了很大的影响。

  我们被告知，还为SAP解决方案管理器、Web调度器和ICM提供了重要的补丁。

  施耐德和西门子的ICS修复至关重要工控系统制造商施耐德电气和西门子发布了其设备的补丁。

  西门子今天更新了几份咨询，并发布了五份新的咨询，涵盖了Ruggedcom ROX设备中可能会引起信息泄露或远程代码执行的漏洞，以及Simantic CN 4100通信系统中的问题，这样一些问题可能使用户完全控制设备并能够绕过网络隔离。

  施耐德最紧迫的问题似乎出现在其Codesys运行时系统的第三版中，该问题能被利用以导致拒绝服务和远程代码执行。

  Adobe的Web应用程序开发平台的用户面临的是一个CVSS 9.8的未信任数据反序列化漏洞。以及一个不正确的访问控制问题和对过多授权尝试的不正确的限制，ColdFusion可能被利用来绕过安全功能并执行任意代码。

  本月InDesign最严重的问题是一种越界写入问题，可能会引起任意代码执行，以及一系列越界读取问题，可能会引起内存泄漏。