https://twcert2024.informationsecurity.com.tw/

新聞

Microsoft 推出 2024 年 1 月 Patch Tuesday 每月例行更新修補包

2024 / 01 / 10
編輯部
Microsoft 推出 2024 年 1 月 Patch Tuesday 每月例行更新修補包
Microsoft 日前推出 2024 年1月例行資安更新修補包「Patch Tuesday」,共修復 49 個資安漏洞;其中含有12 個遠端程式碼執行漏洞。有兩個漏洞被列為嚴重級別,一個是 Windows Kerberos 安全功能繞過,另一個是 Hyper-V RCE。

49個被修補的漏洞類別分類為:
  • 10個權限提高漏洞
  • 7個安全功能繞過漏洞
  • 12個遠端代碼執行漏洞
  • 11個資訊洩露漏洞
  • 6個拒絕服務漏洞
  • 3個欺騙漏洞
微軟敦促 IT管理員優先考慮 Windows Kerberos 中的功能繞過問題和 Windows Hyper-V 中的競爭條件問題。

Windows Kerberos 安全功能繞過漏洞,編號為CVE-2024-20674,CVSS評分: 9。CVE-2024-20674為一種身份驗證功能繞過以允許假冒身分。
 
未經身份驗證的攻擊者可以通過建立中間 (machine-in-the-middle, MITM) 攻擊或其他本地網路欺騙技術來利用此漏洞,然後向用戶端受害者電腦發送惡意 Kerberos 消息,並假冒是 Kerberos 身份驗證伺服器。

不過,要成功利用CVE-2024-20674漏洞,攻擊者在發起攻擊之前先需要獲得目標網路的存取權限。
 
Windows Hyper-V 漏洞,編號為CVE-2024-20700,警告 race condition (競爭危害)會使作業系統遭受遠端程式碼執行攻擊。

本月的Patch Tuesday還涵蓋了 Microsoft Office、Azure、SQL Server、Internet Explorer、Windows LibArchive 和 SharePoint Server 中的其他數十個安全問題。

另外, Adob​​e 也修復 Substance 3D Stager 軟體產品中的至少六個漏洞。Adobe 將程式碼執行漏洞標記為「重要嚴重性」等級,並敦促 macOS 和 Windows 使用者立即套用更新。
 
本文轉載自SecurityWeek.com。