微軟於週二發布修補程式,修復了總計90個安全漏洞,其中包括10個零日漏洞,6個已在野外攻擊廣泛利用。
這 90個漏洞中,有 9個被評為被評為「關鍵」級,80 個為「重要」級,1 個為「中度」級別。此外,微軟自上月以來修復了 Edge瀏覽器中的 36個漏洞。
本次 Patch Tuesday 更新主要針對 6個被廣泛利用的零日漏洞:
- CVE-2024-38189(CVSS評分:8.8)- Microsoft Project遠端程式碼執行漏洞(Microsoft Project Remote Code Execution Vulnerability)
- CVE-2024-38178(CVSS評分:7.5)- Windows 指令碼引擎記憶體損毀漏洞 (Windows Scripting Engine Memory Corruption Vulnerability)
- CVE-2024-38193(CVSS評分:7.8)- Windows 附屬功能驅動程式權限提升漏洞 (Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability)
- CVE-2024-38106(CVSS評分:7.0)- Windows Kernel 權限提升漏洞 (Kernel Elevation of Privilege Vulnerability)
- CVE-2024-38107(CVSS評分:7.8)- Windows電源相依性協調器權限提升漏洞(Windows Power Dependency Coordinator Elevation of Privilege Vulnerability)
- CVE-2024-38213(CVSS評分:6.5)- Windows Mark of the Web安全性功能繞過漏洞 (Windows Mark of the Web Security Feature Bypass Vulnerability)
其中,
CVE-2024-38213 漏洞會讓使用者在點開攻擊者發送的惡意檔案後,允許其繞過 SmartScreen 保護。
此次更新也解決了列印多工緩衝處理器元件(Print Spooler component)中的權限提升漏洞(
CVE-2024-38198,CVSS評分:7.8),該漏洞原允許攻擊者獲得SYSTEM權限。
另一個值得注意的漏洞是
CVE-2024-38173(CVSS評分:6.7),這是一個影響Microsoft Outlook的遠端程式碼執行漏洞,需要攻擊者或受害者從本機執行程式碼才會被利用。
更有資安公司更指出,漏洞
CVE-2024-38213是一個很好的例子,讓他們利用這些造成野外威脅的零日漏洞進行額外的安全研究。
本文轉載自thehackernews。