微软补丁日安全通告|5月份

2023年5月10日（北京时间），微软发布了安全更新，共发布了49个CVE的补丁程序，同比上月减少了51个。

在漏洞安全等级方面，存在7个标记等级为“Critical”的漏洞，32个漏洞被标记为“Important/High”；在漏洞类型方面，主要有21个远程代码执行漏洞，10个权限提升漏洞以及8个信息泄露漏洞。

漏洞分析

2023年漏洞数量趋势

图 1 2023年微软补丁漏洞修复情况

总体上看，微软本月发布的补丁数量为49个，有7个 Critical 漏洞补丁。

千里目安全技术中心在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况，初步估计微软在今年六月份公布的漏洞数将比今年五月份多。漏洞数量将会维持在80个左右。  

历史微软补丁日5月漏洞对比

2020-2023年，5月份的漏洞数趋势如下图：

图 2 微软近年4月漏洞数量对比

2020-2023年，5月份的漏洞危险等级趋势和数量如下图：

   图 3 微软近年5月漏洞危险等级对比

2020-2023年，5月份的漏洞各个类型数量对比如下图：

图 4 微软近年5月漏洞类型对比

从漏洞数量来看，今年相较去年略有下降。微软在2023年5月份爆发的漏洞相较于去年减少。本月出现了49个漏洞补丁，并且有7个 Critical 类型的漏洞补丁。

从漏洞的危险等级来看，个别等级的漏洞数量变化较大。相较去年，“Critical”等级的漏洞数量不变；而“Important/High”等级的漏洞数量减少，近两年总体漏洞数量变化较大。

从漏洞趋势上看，针对Windows系统本身的严重型和高危型漏洞数量减少，针对Windows产品侧的漏洞数量占据大多数。

从漏洞类型来看，RCE类型的漏洞数量少量减少，DoS类型的漏洞数量少量减少，EoP类型的漏洞数量大幅减少，仍然需要引起高度重视，尤其是RCE漏洞在配合社工手段的前提下，甚至可以直接接管整个局域网并进行进一步扩展攻击。

重要漏洞分析

漏洞分析

Win32k 特权提升漏洞 CVE-2023-29336

Win32k提供内核侧向显示器、打印机和其他输出设备输出图形内容的功能。

其中存在权限提升漏洞，攻击者可以利用该漏洞在目标系统获取更高的权限。该漏洞存在在野利用，经过评估，危害比较大，我们建议用户及时更新微软安全补丁。

影响范围

解决方案

官方修复建议

微软官方已更新受影响软件的安全补丁，用户可根据不同系统版本下载安装对应的安全补丁，安全更新链接如下：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336

参考链接

https://msrc.microsoft.com/update-guide/releaseNote/2023-May

时间轴

2023/5/10

微软例行补丁日，微软官网发布漏洞安全公告。

2023/5/10

深信服千里目安全技术中心发布安全公告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。