□ 5 월 보안업데이트 개요 (총 12 종 )
o 등급 : 긴급 (Critical) 8 종 , 중요 (Important) 4 종
o 발표일 : 2023.5.9.(화)
o 업데이트 내용
| 제품군 | 중요도 | 영향 |
| Windows 11 v22H2 | 긴급 | 원격 코드 실행 |
| Windows 11 v21H2 | 긴급 | 원격 코드 실행 |
| Windows 10 22H2, Windows 10 21H2, Windows 10 20H2 | 긴급 | 원격 코드 실행 |
| Windows Server 2022 | 긴급 | 원격 코드 실행 |
| Windows Server 2019 | 긴급 | 원격 코드 실행 |
| Windows Server 2016 | 긴급 | 원격 코드 실행 |
| Windows Server 2012 R2 및 Windows Server 2012 | 긴급 | 원격 코드 실행 |
| Microsoft Office | 중요 | 원격 코드 실행 |
| Microsoft SharePoint | 긴급 | 원격 코드 실핼 |
| Microsoft Visual Studio | 중요 | 정보 공개 |
| Windows Sysmon | 중요 | 권한 상승 |
| Windows 데스크톱용 원격 데스크톱 클라이언트 | 중요 | 정보 공개 |
[참고 사이트 ]
[1] (한글) https://portal.msrc.microsoft.com/ko-kr/security-guidance
[2] (영문) https://portal.msrc.microsoft.com/en-us/security-guidance
[3] https://msrc.microsoft.com/update-guide/releaseNote/2023-May
[4] https://msrc.microsoft.com/update-guide
o 취약점 요약 정보
| 제품 카테고리 | CVE 번호 | CVE 제목 |
| Microsoft Edge (Chromium-based) | CVE-2023-29354 | Microsoft Edge(Chromium 기반) 보안 기능 우회 취약성 |
| Microsoft Edge (Chromium-based) | CVE-2023-29350 | Microsoft Edge(Chromium 기반) 권한 상승 취약성 |
| Microsoft Office | CVE-2023-29344 | Microsoft Office 원격 코드 실행 취약성 |
| SysInternals | CVE-2023-29343 | Windows용 SysInternals Sysmon 권한 상승 취약성 |
| Microsoft Windows Codecs Library | CVE-2023-29341 | AV1 비디오 확장 원격 코드 실행 취약성 |
| Microsoft Windows Codecs Library | CVE-2023-29340 | AV1 비디오 확장 원격 코드 실행 취약성 |
| Visual Studio Code | CVE-2023-29338 | Visual Studio Code 정보 유출 취약성 |
| Windows Win32K | CVE-2023-29336 | Win32k 권한 상승 취약성 |
| Microsoft Office Word | CVE-2023-29335 | Microsoft Word 보안 기능 우회 취약성 |
| Microsoft Edge (Chromium-based) | CVE-2023-29334 | Microsoft Edge(Chromium 기반) 스푸핑 취약성 |
| Microsoft Office Access | CVE-2023-29333 | Microsoft 서비스 액세스 거부 취약성 |
| Windows OLE | CVE-2023-29325 | Windows OLE 원격 코드 실행 취약성 |
| Windows MSHTML Platform | CVE-2023-29324 | Windows MSHTML Platform Security Feature Bypass Vulnerability |
| Microsoft Dynamics | CVE-2023-28314 | Microsoft Dynamics 365(온-프레미스) 교차-사이트 스크립팅 취약성 |
| Dynamics 365 Customer Voice | CVE-2023-28313 | Microsoft Dynamics 365 Customer Voice 교차 사이트 스크립팅 취약성 |
| Visual Studio | CVE-2023-28296 | Visual Studio 원격 코드 실행 취약성 |
| Windows RDP Client | CVE-2023-28290 | Microsoft Remote Desktop app for Windows Information Disclosure Vulnerability |
| Windows LDAP - Lightweight Directory Access Protocol | CVE-2023-28283 | Windows LDAP(Lightweight Directory Access Protocol) 원격 코드 실행 취약성 |
| .NET Core | CVE-2023-28260 | .NET DLL 하이재킹 원격 코드 실행 취약성 |
| Windows Secure Boot | CVE-2023-28251 | Windows 드라이버 해지 목록 보안 기능 바이패스 취약성 |
| Windows DHCP Server | CVE-2023-28231 | DHCP 서버 서비스 원격 코드 실행 취약성 |
| Microsoft Office SharePoint | CVE-2023-24955 | Microsoft SharePoint Server 원격 코드 실행 취약성 |
| Microsoft Office SharePoint | CVE-2023-24954 | Microsoft SharePoint Server 정보 유출 취약성 |
| Microsoft Office Excel | CVE-2023-24953 | Microsoft Excel 원격 코드 실행 취약성 |
| Microsoft Office SharePoint | CVE-2023-24950 | Microsoft SharePoint Server 스푸핑 취약성 |
| Windows Kernel | CVE-2023-24949 | Windows 커널 권한 상승 취약성 |
| Microsoft Bluetooth Driver | CVE-2023-24948 | Windows Bluetooth 드라이버 권한 상승 취약성 |
| Microsoft Bluetooth Driver | CVE-2023-24947 | Windows Bluetooth 드라이버 원격 코드 실행 취약성 |
| Windows Backup Engine | CVE-2023-24946 | Windows 백업 서비스 권한 상승 취약성 |
| Windows iSCSI Target Service | CVE-2023-24945 | Windows iSCSI 대상 서비스 정보 공개 취약성 |
| Microsoft Bluetooth Driver | CVE-2023-24944 | Windows Bluetooth 드라이버 정보 유출 취약성 |
| Windows PGM | CVE-2023-24943 | Windows PGM(Pragmatic General Multicast) 원격 코드 실행 취약성 |
| Windows Remote Procedure Call Runtime | CVE-2023-24942 | 원격 프로시저 호출 런타임 서비스 거부 취약성 |
| Windows Network File System | CVE-2023-24941 | Windows Network 파일 시스템 원격 코드 실행 취약성 |
| Windows PGM | CVE-2023-24940 | Windows PGM(Pragmatic General Multicast) 서비스 거부 취약성 |
| Windows NFS Portmapper | CVE-2023-24939 | NFS용 서버 서비스 거부 취약성 |
| Microsoft Edge (Chromium-based) | CVE-2023-24935 | Microsoft Edge(Chromium 기반) 스푸핑 취약성 |
| Windows Defender | CVE-2023-24934 | Microsoft Defender 보안 기능 우회 취약성 |
| Windows Secure Boot | CVE-2023-24932 | 보안 부팅 보안 기능 우회 취약성 |
| Microsoft Dynamics | CVE-2023-24922 | Microsoft Dynamics 365 정보 공개 취약성 |
| Microsoft PostScript Printer Driver | CVE-2023-24911 | Microsoft PostScript 및 PCL6 Class 프린터 드라이버 정보 공개 취약성 |
| Remote Desktop Client | CVE-2023-24905 | 원격 데스크톱 클라이언트 원격 코드 실행 취약성 |
| Windows Installer | CVE-2023-24904 | Windows Installer 권한 상승 취약성 |
| Windows Secure Socket Tunneling Protocol (SSTP) | CVE-2023-24903 | Windows SSTP(Secure Socket Tunneling Protocol) 원격 코드 실행 취약성 |
| Windows Win32K | CVE-2023-24902 | Win32k 권한 상승 취약성 |
| Windows NFS Portmapper | CVE-2023-24901 | Windows NFS Portmapper 정보 공개 취약성 |
| Windows NTLM | CVE-2023-24900 | Windows NTLM Security Support Provider 정보 공개 취약성 |
| Microsoft Graphics Component | CVE-2023-24899 | Windows 그래픽 구성 요소 권한 상승 취약성 |
| Windows SMB | CVE-2023-24898 | Windows SMB 서비스 거부 취약성 |
| Microsoft Edge (Chromium-based) | CVE-2023-24892 | Microsoft Edge(Chromium 기반) Webview2 스푸핑 취약성 |
| Microsoft Teams | CVE-2023-24881 | Microsoft Teams 정보 공개 취약성 |
| Microsoft Defender for Endpoint | CVE-2023-24860 | Microsoft Defender 서비스 거부 취약성 |
| Microsoft PostScript Printer Driver | CVE-2023-24858 | Microsoft PostScript 및 PCL6 Class 프린터 드라이버 정보 공개 취약성 |
| Microsoft Edge (Chromium-based) | CVE-2023-2468 | Chromium: CVE-2023-2468 PictureInPicture에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2467 | Chromium: CVE-2023-2467 Prompts에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2466 | Chromium: CVE-2023-2466 Prompts에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2465 | Chromium: CVE-2023-2465 CORS에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2464 | Chromium: CVE-2023-2464 PictureInPicture에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2463 | Chromium: CVE-2023-2463 전체 화면 모드에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2462 | Chromium: CVE-2023-2462 Prompts에서 부적절한 구현 |
| Microsoft Edge (Chromium-based) | CVE-2023-2460 | Chromium: CVE-2023-2460 Extensions에서 신뢰할 수 없는 입력에 대한 불충분한 유효성 검사 |
| Microsoft Edge (Chromium-based) | CVE-2023-2459 | Chromium: CVE-2023-2459 Prompts에서 부적절한 구현 |
| Microsoft Office Excel | CVE-2023-23398 | Microsoft Excel 스푸핑 취약성 |
| Microsoft Office Excel | CVE-2023-23396 | Microsoft Excel 서비스 거부 취약성 |
| Service Fabric | CVE-2023-23383 | Service Fabric Explorer 스푸핑 취약성 |
| Azure Machine Learning | CVE-2023-23382 | Azure Machine Learning 컴퓨팅 인스턴스 정보 공개 취약성 |
| Microsoft Defender for IoT | CVE-2023-23379 | IoT용 Microsoft Defender 권한 상승 취약성 |
| Microsoft Dynamics | CVE-2023-21807 | Microsoft Dynamics 365(온-프레미스) 교차-사이트 스크립팅 취약성 |
| Visual Studio Code | CVE-2023-21779 | Visual Studio Code 원격 코드 실행 취약성 |
| Microsoft Dynamics | CVE-2023-21778 | Microsoft Dynamics Unified Service Desk 원격 코드 실행 취약성 |
| Microsoft Office Visio | CVE-2023-21738 | Microsoft Office Visio 원격 코드 실행 취약성 |
| Windows RPC API | CVE-2023-21727 | 원격 프로시저 호출 런타임 원격 코드 실행 취약성 |
| Microsoft Office Publisher | CVE-2023-21715 | Microsoft Publisher 보안 기능 바이패스 취약성 |
| Microsoft Edge (Chromium-based) | CVE-2023-2137 | Chromium: CVE-2023-2137 Heap buffer overflow in sqlite |
| Microsoft Edge (Chromium-based) | CVE-2023-2136 | Chromium: CVE-2023-2136 Integer overflow in Skia |
| Microsoft Edge (Chromium-based) | CVE-2023-2135 | Chromium: CVE-2023-2135 Use after free in DevTools |
| Microsoft Edge (Chromium-based) | CVE-2023-2134 | Chromium: CVE-2023-2134 Out of bounds memory access in Service Worker API |
| Microsoft Edge (Chromium-based) | CVE-2023-2133 | Chromium: CVE-2023-2133 Out of bounds memory access in Service Worker API |
| Microsoft Edge (Chromium-based) | CVE-2023-2033 | Chromium: CVE-2023-2033 Type Confusion in V8 |
| Microsoft Edge (Chromium-based) | CVE-2023-0941 | Chromium: CVE-2023-0941 프롬프트에서 UaF(Use after free) |
| Open Source Software | CVE-2022-43552 | 오픈 소스 Curl 원격 코드 실행 취약성 |
| Microsoft Graphics Component | CVE-2022-41121 | Windows 그래픽 구성 요소 권한 상승 취약성 |
| Microsoft Graphics Component | CVE-2022-41113 | Windows Win32 커널 하위 시스템 권한 상승 취약성 |
| Microsoft Office Excel | CVE-2022-41104 | Microsoft Excel 보안 기능 우회 취약성 |
| AMD CPU Branch | CVE-2022-29900 | AMD: CVE-2022-29900 AMD CPU 분기 유형 혼동 |
| Windows Photo Import API | CVE-2022-26928 | Windows 사진 가져오기 API 권한 상승 취약성 |
| .NET and Visual Studio | CVE-2022-24512 | .NET 및 Visual Studio 원격 코드 실행 취약성 |
| Microsoft Office Outlook | CVE-2022-24480 | Android용 Outlook 권한 상승 취약성 |
| AMD CPU Branch | CVE-2022-23825 | AMD: CVE-2022-23825 AMD CPU 분기 유형 혼동 |
| Power BI | CVE-2022-23292 | Microsoft Power BI 스푸핑 취약성 |
| Microsoft Office Outlook | CVE-2021-28452 | Microsoft Outlook 메모리 손상 취약성 |
| Windows DCOM Server | CVE-2021-26414 | Windows DCOM 서버 보안 기능 우회 |
| WinVerifyTrust Signature Verification | CVE-2013-3900 | WinVerifyTrust 서명 유효 취약성 |
□ 작성 : 취약점분석팀
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| [보안 이슈] WordPress 제품 보안 업데이트 권고 (0) | 2023.05.18 |
|---|---|
| [보안 이슈] 리눅스 권한 상승 취약점 보안 업데이트 권고 (0) | 2023.05.18 |
| [보안 이슈] Hikvision 제품 보안 업데이트 권고 (0) | 2023.05.04 |
| [보안 이슈] Oracle 제품 보안 업데이트 권고 (0) | 2023.04.27 |
| [보안 이슈] 국내외 사이버 위협 고조에 따른 국내 기업 대상 사이버 공격 대비 보안 강화 권고 (0) | 2023.04.26 |