网络安全漏洞更新：微软与iOS存在新风险

关键要点

• CISA（网络安全和基础设施安全局）更新了已知利用漏洞目录。
• 新添加的漏洞包括三项微软的安全缺陷和一项iOS的脆弱性。
• 威胁者可以通过这些漏洞实现远程代码执行和特权升级。
• 所有新漏洞已在本月的补丁星期二中得到修复。
• 建议所有联邦机构在3月7日前实施修补，且所有美国组织也应应用相关修复。

CISA（网络安全和基础设施安全局）最近更新了其，该目录新增了三项微软的安全缺陷和一项在iOS上存在的脆弱性，当前正处于活跃利用状态。根据的报道，威胁者可能利用CVE-2023-21823实现远程代码执行，而CVE-2023-23376则可能使其在脆弱的Windows系统上进行特权升级。此外，利用CVE-2023-21715还可避免微软Office的宏策略。

所有新加入CISA KEV（已知利用漏洞）目录的微软零日漏洞均已在本月的补丁星期二中得到修复。CISA还增加了一项针对AppleWebKit的类型混淆漏洞，跟踪编号为CVE-2023-23529，这个漏洞可能被利用来实现任意代码执行。苹果公司也在本周早些时候针对此漏洞发布了修复补丁，受影响设备包括运行macOSVentura的Mac电脑、iPhone 8及后续机型以及所有iPad Pro型号。

漏洞名称 | CVE编号 | 影响系统 | 漏洞影响
—|—|—|—
微软远程代码执行 | CVE-2023-21823 | 脆弱的Windows系统 | 允许远程执行任意代码
微软特权升级 | CVE-2023-23376 | 脆弱的Windows系统 | 允许用户提升权限
Office宏规避 | CVE-2023-21715 | 脆弱的Microsoft Office | 规避宏策略
WebKit类型混淆漏洞 | CVE-2023-23529 | 受影响的Apple设备（Mac, iPhone, iPad） | 允许执行任意代码

由于这些漏洞的加入，所有联邦机构应当在3月7日前实施相关修补，所有美国组织也被强烈建议尽快应用修复措施，以保障网络安全。