Microsoft 日前推出 2024 年1月例行資安更新修補包「Patch Tuesday」,共修復 49 個資安漏洞;其中含有12 個遠端程式碼執行漏洞。有兩個漏洞被列為嚴重級別,一個是 Windows Kerberos 安全功能繞過,另一個是 Hyper-V RCE。
49個被修補的漏洞類別分類為:
- 10個權限提高漏洞
- 7個安全功能繞過漏洞
- 12個遠端代碼執行漏洞
- 11個資訊洩露漏洞
- 6個拒絕服務漏洞
- 3個欺騙漏洞
微軟敦促 IT管理員優先考慮 Windows Kerberos 中的功能繞過問題和 Windows Hyper-V 中的競爭條件問題。
Windows Kerberos 安全功能繞過漏洞,編號為CVE-2024-20674,CVSS評分: 9。CVE-2024-20674為一種身份驗證功能繞過以允許假冒身分。
未經身份驗證的攻擊者可以通過建立中間 (machine-in-the-middle, MITM) 攻擊或其他本地網路欺騙技術來利用此漏洞,然後向用戶端受害者電腦發送惡意 Kerberos 消息,並假冒是 Kerberos 身份驗證伺服器。
不過,要成功利用CVE-2024-20674漏洞,攻擊者在發起攻擊之前先需要獲得目標網路的存取權限。
Windows Hyper-V 漏洞,編號為CVE-2024-20700,警告 race condition (競爭危害)會使作業系統遭受遠端程式碼執行攻擊。
本月的Patch Tuesday還涵蓋了 Microsoft Office、Azure、SQL Server、Internet Explorer、Windows LibArchive 和 SharePoint Server 中的其他數十個安全問題。
另外, Adobe 也修復 Substance 3D Stager 軟體產品中的至少六個漏洞。Adobe 將程式碼執行漏洞標記為「重要嚴重性」等級,並敦促 macOS 和 Windows 使用者立即套用更新。
本文轉載自SecurityWeek.com。