软在其2024年1月月度安全更新中,一口气修复了48个横跨其软件的漏洞,这是连续第二个月没有零日漏洞的Patch Tuesday。
此次更新涵盖了:
- Windows系统修复48个漏洞,其中2个严重(9分)、46个重要(7.5分),暂无公开利用证据。
- Chromium内核Edge浏览器修复9个漏洞,包括谷歌披露的被利用零日漏洞(CVE-2023-7024,8.8分)。
最关键漏洞包括:
- CVE-2024-20674 (9分): Windows Kerberos安全功能绕过漏洞,可被用来伪装身份发起攻击。
- CVE-2024-20700 (7.5分): Windows Hyper-V远程代码执行漏洞,无需用户交互或认证,但需要赢得竞争条件。
其他值得注意的漏洞包括:
- CVE-2024-20653 (7.8分): 提升权限漏洞,影响通用日志文件系统驱动程序。
- CVE-2024-0056 (8.7分): 安全绕过漏洞,影响System.Data.SqlClient和Microsoft.Data.SqlClient,可截取客户端与服务器之间的TLS流量。
微软还因安全漏洞(CVE-2024-20677,7.8分)默认禁用Word、Excel、PowerPoint和Outlook中插入FBX文件功能,改为推荐使用GLB格式。
除微软外,其他厂商也在近期发布安全更新,例如:Adobe、AMD、Android、Arm、ASUS、Bosch、Cisco、Dell、F5、Fortinet、谷歌Chrome、谷歌云、HP、IBM、Intel、联想、Linux发行版、MediaTek、NETGEAR、高通、三星、SAP、施耐德电气、西门子、Splunk、Synology、趋势科技、Zimbra和Zoom等。
参考:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/microsoft-windows-update-patches-fixed-48-vulnerabilities.html
