.NET、.NET Framework 和 Visual Studio 權限提高弱點

CVE-2023-24936

Security Vulnerability

發行日期： 2023年6月13日

上次更新：2023年9月12日

Assigning CNA: Microsoft

CVE.org link: CVE-2023-24936

影響: 權限提高

最大嚴重性: 中度

CVSS Source: Microsoft

向量字串: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

Metrics: CVSS:3.1 7.5 / 6.5

Metric

Value

基本分數量度(8)

攻擊媒介

該量度反映出可能利用弱點的環境。基本分數越高，攻擊者便更容易利用其更遠的遠端（邏輯上和物理上的），從而破壞易受攻擊的元件。

網路

易受攻擊的元件已繫結到網路堆疊，而且可能的攻擊者範圍超出所列的其他選項，甚至包括整個網際網路。這種弱點通常被稱為「可遠端利用」，並且可以被認為是一種或多種網路跳躍（例如，跨越一個或多個路由器）在協議級別可利用的攻擊。

攻擊複雜性

該量度描述攻擊者無法控制卻是利用此弱點必須存在的條件。這樣的條件可能需要收集有關目標或計算異常的更多資訊。該量度的評估不包括為了利用此弱點而進行使用者交互的任何要求。如果需要特定設定才能攻擊成功，則應假定該設定下易受攻擊元件的基本量度得到評分。

高

成功的攻擊取決於攻擊者無法控制的條件。也就是說，成功的攻擊不能隨意完成，而是要求攻擊者在可預期的成功攻擊之前投入一定數量的精力來準備或執行針對脆弱元件的操作。例如，成功的攻擊可能需要攻擊者來：收集有關易受攻擊的目標/元件所在的環境的知識、準備目標環境以提高弱點利用的可靠性或將自身注入到目標與受害者請求的資源之間的邏輯網路路徑中以讀取和/或修改網路通信（例如，攻擊過程中間的人員）。

權限要求

該量度描述攻擊者在成功利用此弱點之前必須擁有的權限等級。

無

攻擊者在攻擊之前未經授權，因此不需要設定或檔案的任何存取權即可進行攻擊。

使用者互動

該量度擷取攻擊者以外的使用者參與成功入侵易受攻擊元件的要求。該量度確定是否可以僅根據攻擊者的意願來利用弱點，還是必須以某種方式參與到單獨的使用者（或使用者啟動的進程）中。

必須

成功利用此弱點需要使用者採取一些動作後，才能利用此弱點。

範圍

成功的攻擊會影響除易受攻擊的元件以外的其他元件嗎？如果是這樣，則基本分數會增加，並且應相對於受影響的元件而對機密性、完整性和身份驗證量度進行評分。

未變更

遭利用的弱點僅會影響由相同安全性授權單位管理的資源。在這種情況下，易受攻擊的元件和受影響的元件是相同的，或者均由同一安全機構管理。

機密性

該量度用於衡量由於成功利用弱點，而對軟體元件管理之資訊資源機密性的影響。機密性是指將資訊存取和披露僅限於授權使用者，以及防止未經授權的使用者存取或披露資訊。

高

完全喪失機密性，導致向攻擊者洩漏受影響元件中的所有資源。或者，僅獲得一些受限資訊的存取權，但是所洩漏的資訊會帶來嚴重的直接影響。

完整性

該量度用於衡量成功利用的弱點對完整性的影響。完整性是指資訊的可信賴性和準確性。

高

完全喪失完整性，或者完全失去防護。例如，攻擊者能夠修改受受影響元件防護的任何/所有檔案。或者，只能修改某些檔案，但是惡意修改會對受影響的元件造成直接的嚴重後果。

可用性

該量度用於衡量由於成功利用弱點，而對受影響元件的可用性產生的影響。它是指受影響元件本身（例如，網路服務：如Web、資料庫、電子郵件）的可用性喪失。由於可用性是指信息資源的可存取性，因此消耗網路頻寬、處理器週期或磁碟空間的攻擊都會影響受影響元件的可用性。

高

完全喪失可用性，導致攻擊者能夠完全拒絕存取受影響元件中的資源。這種可用性喪失情況既可以在攻擊者繼續進行攻擊的同時存續，也可以在攻擊完成後仍然持續存在。或者，攻擊者可以拒絕某些可用性，但是可用性的喪失會對受影響的元件造成直接的嚴重後果（例如，攻擊者無法破壞現有連接，但可以阻止新連接；攻擊者可以反復利用一個弱點，該弱點在每次成功攻擊的情況下只會洩漏少量記憶體，但是在反復利用之後，該服務將變得完全不可用）。

時間分數量度(3)

利用程式碼成熟度

該量度用於衡量弱點遭到攻擊的可能性，而且通常根據惡意探索技術的目前狀態、惡意探索程式碼的可用性或「世界各地」使用中的惡意探索方式來進行。

未驗證

沒有可用的惡意探索程式碼，或者是理論上可進行惡意探索。

修復等級

弱點的修復等級是確定優先順序的重要因素。最初發佈時，未修補典型弱點。解決方法或修補程式可能會提供臨時修復，直到發佈正式修補程式或升級為止。這些各個階段中的每個階段都向下調整時間得分，反映出隨著補救工作的最終完成，緊迫性得到降低。

官方修正程式

有完整的廠商解決方案。廠商已經發佈了官方修補程式，或者可執行升級。

報告機密性

該量度用於衡量對弱點存在的信心程度，以及已知技術詳細資料的可信度。有時僅公開存在的弱點，但無具體細節。例如，可能認為會有不良影響，但根本原因可能未知。以後可能會透過研究來證實該弱點，儘管該研究可能不確定，但該研究提示了該弱點可能位於何處。最後，可以透過受影響的技術的作者或廠商的確認來確認弱點。當已知某個弱點確實存在時，該弱點的緊急性就會更高。該量度還表明了可能成為攻擊者的技術知識水準。

已確認

有詳細報告存在，或可能進行功能複製 (功能惡意探索可能做得到這點)。原始程式碼可用於獨立驗證研究的聲明，或者受影響程式碼的作者或廠商已確認存在此弱點。

請參閱常見弱點評分系統，以取得有關這些量度定義的詳細資訊。

可擅用性

下列表格提供最初公開時此弱點的可擅用性評定。

Publicly disclosed: No
Exploited: No
Exploitability assessment: 利用可能性低

常見問題集

成功利用此弱點的攻擊者可以獲得哪些權限？

成功利用此弱點的攻擊者可能會取得系統管理員權限。

根據 CVSS 量度，攻擊複雜性為高 (AC:H)。對於此弱點，這代表什麼意思？

攻擊者必須備妥目標環境以改善惡意探索可靠性，才能成功利用此弱點。

攻擊者如何利用此弱點？

攻擊者可能會引誘使用者開啟惡意的 XML 檔案，藉此利用弱點。

致謝

H01 and H02 from FPT Software Cybersecurity Assurance Service with https://www.fpt-software.com/

Microsoft 了解資訊安全業界所做的努力，其盡責地揭露弱點來協助我們保護客戶。請參閱致謝以取得詳細資訊。

安全性更新

若要了解您軟體的支援生命週期，請參閱 Microsoft 支援週期網站。

發行日期 Descending

發行日期

產品

平台

影響

最大嚴重性

文章

下載

Build Number

2023年6月13日

Microsoft .NET Framework 3.5.1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.5

Windows Server 2012 R2

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.5

Windows Server 2012 R2 (Server Core installation)

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.5

Windows Server 2012

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.5

Windows Server 2012 (Server Core installation)

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.5.1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.0 Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 2.0 Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 3.0 Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 2.0 Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Elevation of Privilege

Moderate

3.0.6920.8954; 2.0.50727.8970
3.0.6920.8954; 2.0.50727.8970

2023年6月13日

Microsoft .NET Framework 3.5 and 4.6.2

Windows 10 for x64-based Systems

Elevation of Privilege

Moderate

5027230

Security Update

10.0.10240.19983

2023年6月13日

Microsoft .NET Framework 3.5 and 4.6.2

Windows 10 for 32-bit Systems

Elevation of Privilege

Moderate

5027230

Security Update

10.0.10240.19983

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 22H2 for ARM64-based Systems

Elevation of Privilege

Moderate

5027538

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for 32-bit Systems Service Pack 2

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 11 Version 22H2 for x64-based Systems

Elevation of Privilege

Moderate

5027119

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 22H2 for x64-based Systems

Elevation of Privilege

Moderate

5027538

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 21H2 for x64-based Systems

Elevation of Privilege

Moderate

5027537

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for x64-based Systems Service Pack 2

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 21H2 for ARM64-based Systems

Elevation of Privilege

Moderate

5027537

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 11 Version 22H2 for ARM64-based Systems

Elevation of Privilege

Moderate

5027119

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 22H2 for 32-bit Systems

Elevation of Privilege

Moderate

5027538

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 11 version 21H2 for x64-based Systems

Elevation of Privilege

Moderate

5027539

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 11 version 21H2 for ARM64-based Systems

Elevation of Privilege

Moderate

5027539

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 21H2 for 32-bit Systems

Elevation of Privilege

Moderate

5027537

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows Server 2022

Elevation of Privilege

Moderate

5027544

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows Server 2022 (Server Core installation)

Elevation of Privilege

Moderate

5027544

Security Update

4.8.9166.0

2023年6月13日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2 (Server Core installation)

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 (Server Core installation)

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2

Elevation of Privilege

Moderate

4.7.04043.0
4.7.4050.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for x64-based Systems

Elevation of Privilege

Moderate

5027219

Security Update

10.0.14393.5989

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for 32-bit Systems

Elevation of Privilege

Moderate

5027219

Security Update

10.0.14393.5989

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016 (Server Core installation)

Elevation of Privilege

Moderate

5027219

Security Update

10.0.14393.5989

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016

Elevation of Privilege

Moderate

5027219

Security Update

10.0.14393.5989

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.7.2

Windows Server 2019 (Server Core installation)

Elevation of Privilege

Moderate

5027536

Security Update

4.7.4050.0

2023年6月13日

Microsoft .NET Framework 3.5 AND 4.7.2

Windows 10 Version 1809 for x64-based Systems

Elevation of Privilege

Moderate

5027536

Security Update

4.8.4644.0

All results loaded

已載入全部 76 列

免責聲明

Microsoft 知識庫提供的資訊係依「現況」提供，不附任何保證。Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂

version

revisionDate

description

3.2

2023年9月12日

Updated links to security updates. This is an informational change only.

3.1

2023年8月18日

Updated one or more CVSS scores for the affected products. This is an informational change only.

3.0

2023年7月13日

In the Security Updates table, added all supported versions of all supported versions of .NET Framework, Visual Studio 2022 version 17.0, Visual Studio 2022 version 17.2, and Visual Studio 2022 version 17.4 because these products are also affected by this vulnerability. Microsoft strongly recommends that customers running any of these products install the updates to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action.

2.0

2023年6月29日

Revised the Security Updates table to include PowerShell 7.2 and PowerShell 7.3 because these versions of PowerShell 7 are affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/42 for more information.

1.0

2023年6月13日

Information published.

您對 MSRC 安全性更新導覽的滿意度為何？