微软修复了两个正在被积极利用的漏洞，属于十月补丁星期二 媒体

微软修复的安全漏洞概述

重点摘要

微软在其十月更新星期二的发布中修复了103个安全漏洞，其中包括正在被积极利用的两个零日漏洞。

第一个零日漏洞是CVE202341763，被描述为Skype for Business中的特权提升漏洞。尽管此漏洞的CVSS评分为重要53，微软已检测到该漏洞在网络中被利用。

微软警告称：“攻击者可能会对目标的Skype for Business服务器发送特制的网络请求，这可能导致对任意地址的HTTP请求的解析。这可能会向攻击者泄露IP地址或端口号，甚至两者都有。”

根据微软对该漏洞的描述，攻击者可能会查看到一些敏感的机密信息，并且在某些情况下，暴露的信息可能会提供对内部网络的访问。

另一个正在被积极利用的零日漏洞被记录为CVE202336563，它被描述为Microsoft WordPad的信息泄露漏洞。

与Skype的漏洞类似，WordPad的漏洞也被评为重要，其CVSS评分为65。该漏洞会制造条件，导致NTLM哈希值的泄露。攻击者必须能够登录系统以利用该漏洞，但一旦获得立足点，攻击者就可以执行特制的应用程序并控制受影响的系统。

微软表示：“此外，攻击者可能会说服本地用户打开一个恶意文件。他们需要通过电子邮件或即时消息的诱饵说服用户点击链接，然后再说服他们打开特制的文件。”

漏洞名称类型CVSS评分影响CVE202341763Skype for Business特权提升53可能泄露IP地址或端口号CVE202336563WordPad信息泄露65可能泄露NTLM哈希

注：建议用户立即更新相关软件，以确保不受这些已知漏洞的影响。