Microsoft Word NTLM哈希信息泄露漏洞
漏洞描述
Microsoft Office Word是微软公司的一个文字处理器应用程序。
Microsoft Word受影响版本中存在信息泄露漏洞,使用预览窗格对文件进行预览会触发此漏洞,攻击者通过诱导用户打开恶意文件,从而获取受害者的NTLM 哈希值。
| 漏洞名称 | Microsoft Word NTLM哈希信息泄露漏洞 |
|---|---|
| 漏洞类型 | 未授权敏感信息泄露 |
| 发现时间 | 2023-09-13 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-mir2-plxk |
| CVE编号 | CVE-2023-36761 |
| CNVD编号 | - |
影响范围
Microsoft Word 2013 RT Service Pack 1@(-∞, 15.0.5589.1001)
Microsoft Word 2016@(-∞, 16.0.5413.1000)
Microsoft 365 Apps for Enterprise@(-∞, 16731.20234)
Microsoft Office 2019@(-∞, 16731.20234)
Microsoft Office LTSC 2021@(-∞, 16731.20234)
Microsoft Word 2013 Service Pack 1 (32-bit editions)@(-∞, 15.0.5589.1001)
修复方案
官方已发布安全补丁,建议受影响的用户尽快升级至安全版本:https://msrc.microsoft.com/update-guide/releaseNote/2023-Sep
参考链接
https://www.oscs1024.com/hd/MPS-mir2-plxk
https://nvd.nist.gov/vuln/detail/CVE-2023-36761
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
加密库 libsodium 1.0.19 发布
libsodium 1.0.19 现已发布。此版本包含 1.0.18-stable 的所有更改,以及两项新增内容: New AEADs:crypto_aead_aegis128l_*()和crypto_aead_aegis256_*()命名空间中新增了 AEGIS-128L 和 AEGIS-256。AEGIS 是面向高性能应用的认证密码系列,利用 x86_64 和 aarch64 上的硬件 AES 加速。除性能外,AEGIS 密码还具有独特的特性,使其比 AES-GCM 更易于使用,也更安全。它们还可用作高性能 MAC。 crypto_kdf_hkdf_*()命名空间现在提供了许多标准协议所需的 HKDF 密钥生成机制。它是针对 SHA-256 和 SHA-512 哈希函数实现的。 osx.sh构建脚本已重命名为macos.sh 删除了对 android-mips 的支持。 From 1.0.18-stable: Visual Studio:添加了对 Windows/ARM64 builds的支持。 Visual Studio:在支持的 CPU 上启用了 AVX512 实现。 Visu...
- 下一篇
OpenRefine mysql jdbc url 远程代码执行漏洞
漏洞描述 OpenRefine(前称:Google Refine)是一个开源的数据清洗和数据转换工具。 OpenRefine 3.7.5之前版本中,由于 extensions/database 模块未对用户可控的 mysql jdbc url 参数进行过滤,当应用端使用的 mysql-connector-java 组件版本小于 8.0.20 时,未经身份验证攻击者可通过配置 Database 连接地址为恶意 mysql 服务器,将 payload 注入到 url 参数中(如:User参数),并指定 autoDeserialize=true 在进行 JDBC 连接时通过反序列化远程执行任意代码。 漏洞名称 OpenRefine mysql jdbc url 远程代码执行漏洞 漏洞类型 代码注入 发现时间 2023-09-13 漏洞影响广度 广 MPS编号 MPS-mfdx-l1wn CVE编号 CVE-2023-41887 CNVD编号 - 影响范围 org.openrefine:database@[3.6.0, 3.7.5) 修复方案 升级org.openrefine:database...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2全家桶,快速入门学习开发网站教程
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Docker快速安装Oracle11G,搭建oracle11g学习环境
微信收款码
支付宝收款码