Descargitas

来自中国的最新突发新闻。

微软将在星期二补丁日推出 61 个更新,警告三个零日漏洞

微软将在星期二补丁日推出 61 个更新,警告三个零日漏洞

微软将在星期二补丁日推出 61 个更新,警告三个零日漏洞

微软敦促用户小心,不要主动利用至少一个漏洞。

微软本周二发布了 60 多个补丁,其中包括三个漏洞,其中一个漏洞正在被积极利用。

CVE-2024-30051 是 Windows 桌面核心库 Windows 管理器中的一个特权提升漏洞。 成功利用此漏洞后,将授予完整的系统权限。

CVE-2024-30046 是 Visual Studio 中的拒绝服务缺陷,但它需要非常复杂的攻击才能赢得特定的竞争条件。

最后,CVE-2024-30040 是 Microsoft 365 和 Office 中的一个安全功能绕过漏洞,已被观察到被积极利用。 任何未修复的资产都容易受到此错误的影响,因此需要紧急关注。

Rapid7 的高级软件工程师 Adam Barnett 向我们介绍了导致漏洞出现的原因。

“第一个零日漏洞是 CVE-2024-30051,这是 Windows 桌面核心库 Windows 管理器 (DWM) 中的一个特权提升 (EoP) 漏洞,被列为 CISA KEV,”Barnett 说。

“成功的利用将授予系统特权。DWM 首次作为 Windows Vista 的一部分引入,负责在 Windows 屏幕上绘制所有内容。由于 Microsoft 最近对其安全公告进行了改进,纳入了常见漏洞枚举 (CWE) 数据,该利用机制被命名为CVE-122:基于堆的缓冲区溢出,这是美国联邦政府最近指出的一种缺陷,内存安全软件开发旨在解决此问题。

“Windows MSHTML 通报 (CVE-2024-30040) 表明,攻击者必须说服用户打开恶意文件;成功利用该漏洞可绕过 Microsoft 365 和 Microsoft Office 中的 COM/OLE 保护,以在上下文中实现代码执行。用户的,”巴尼特说。”

“Rapid7 也是如此 前面提到过“MSHTML(又名 Trident)仍然完全存在于 Windows 中 – 因此未修补的资产很容易受到 CVE-2024-30040 的影响 – 无论 Internet Explorer 11 是否完全禁用。”

“微软将 CVE-2024-30046 描述为需要非常复杂的攻击才能通过“赢得竞争条件”[the investment of] “通过发送持续或间歇性数据来重复利用尝试的时间,”巴尼特解释道。

“由于发送到任何地方的所有数据都是连续或间歇发送的,并且该公告的其余部分缺乏详细信息,因此该漏洞的潜在影响仍不清楚,只有 Visual Studio 2022 正在接收更新,因此较旧的受支持版本的 Visual Studio 应该如此。不受影响。

大卫·霍林斯沃斯

大卫·霍林斯沃斯

David Hollingsworth 从事技术写作已有 20 多年,在其职业生涯中曾涉足过一系列印刷品和在线书籍。 他喜欢处理网络安全问题,尤其是当他可以谈论乐高时。