Windows与Edge浏览器补丁:微软安全更新修复48个新漏洞

微软发布2024年1月安全更新,修复48个漏洞此次更新涵盖了Windows系统和Chromium内核Edge浏览器。

软在其2024年1月月度安全更新中,一口气修复了48个横跨其软件的漏洞,这是连续第二个月没有零日漏洞的Patch Tuesday。

此次更新涵盖了:

  • Windows系统修复48个漏洞,其中2个严重(9分)、46个重要(7.5分),暂无公开利用证据。
  • Chromium内核Edge浏览器修复9个漏洞,包括谷歌披露的被利用零日漏洞(CVE-2023-7024,8.8分)。

最关键漏洞包括:

  • CVE-2024-20674 (9分): Windows Kerberos安全功能绕过漏洞,可被用来伪装身份发起攻击。
  • CVE-2024-20700 (7.5分): Windows Hyper-V远程代码执行漏洞,无需用户交互或认证,但需要赢得竞争条件。

其他值得注意的漏洞包括:

  • CVE-2024-20653 (7.8分): 提升权限漏洞,影响通用日志文件系统驱动程序。
  • CVE-2024-0056 (8.7分): 安全绕过漏洞,影响System.Data.SqlClient和Microsoft.Data.SqlClient,可截取客户端与服务器之间的TLS流量。

微软还因安全漏洞(CVE-2024-20677,7.8分)默认禁用Word、Excel、PowerPoint和Outlook中插入FBX文件功能,改为推荐使用GLB格式。

除微软外,其他厂商也在近期发布安全更新,例如:Adobe、AMD、Android、Arm、ASUS、Bosch、Cisco、Dell、F5、Fortinet、谷歌Chrome、谷歌云、HP、IBM、Intel、联想、Linux发行版、MediaTek、NETGEAR、高通、三星、SAP、施耐德电气、西门子、Splunk、Synology、趋势科技、Zimbra和Zoom等。

參考:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/microsoft-windows-update-patches-fixed-48-vulnerabilities-html

讚! (0)
以前的 2024年1月10日 下午8:30
下一個 2024年1月11日 下午7:42