最后更新于2024年2月23日(星期五)21:35:59 GMT
微软正在解决49个漏洞 2024年1月补丁星期二,包括一个关键的远程代码执行漏洞. 本月分别发布了4个浏览器漏洞,但未包含在总数中. 今天没有发布或修补零日漏洞.
Hyper-V:关键的远程代码执行
cve - 2024 - 20700 描述了Windows Hyper-V硬件虚拟化服务中的远程代码执行漏洞. 微软根据其专有的严重性等级将此漏洞列为严重漏洞. 然而,CVSS 3.1分为7分.5只表示严重程度高, 反映了攻击者必须赢得竞争条件的高复杂度和攻击必须从受限网络发起的要求. 这份建议没有提及细节, 所以不清楚攻击者的确切位置——管理程序所在的局域网, 或者由管理程序创建和管理的虚拟网络——或者远程代码执行将在什么上下文中发生. 然而, 因为微软将该漏洞列为比CVSS评分所显示的更严重的漏洞, 防御者应该假设可以从与管理程序相同的子网进行利用, 这些代码将在Hyper-V主机的SYSTEM上下文中执行.
FBX 3D模型在Office:任意代码执行
微软 Office的一个补丁禁止从FBX (Filmbox)文件中插入3D模型到Office文档中,以防止被利用 cve - 2024 - 20677,微软将其描述为任意代码执行. 利用将涉及Office用户与恶意FBX文件交互, 并可能导致信息泄露或停机. 文档中已经存在的模型将继续像以前一样工作, 除非在插入时选择了“链接到文件”选项. 在一个 相关博客文章,微软建议从现在开始避免使用FBX,而是使用GLB 3D文件格式. 这篇博文还介绍了如何修改注册表,重新启用将FBX文件插入Office文档的功能, 尽管微软强烈建议不要这样做. 一线希望:预览窗格不是cve - 2024 - 20677的矢量. Windows和Mac版本的Office在打补丁之前都很脆弱.
SharePoint:远程代码执行
SharePoint管理员应该注意 cve - 2024 - 21318,这是 于2024-01-10添加到CISA KEV. 成功的利用允许具有现有站点所有者权限的攻击者在SharePoint服务器的上下文中执行代码. 许多SharePoint RCE漏洞只需要站点成员权限, 所以这里对网站所有者的要求确实提供了一些小小的安慰, 但cve - 2024 - 21318仍然有可能被恶意内部人员滥用,或者作为漏洞利用链的一部分. 该建议确实提到,利用要求攻击者必须已经被验证为“至少是站点所有者”,” although it’s not clear what level of privilege above Site Owner is implicated here; a user with SharePoint Administrator or 微软 365 Global Administrator role could certainly assign themselves the Site Owner role.
Windows Kerberos:绕过MitM安全特性
所有当前版本的Windows都有 cve - 2024 - 20674,它描述了Kerberos的Windows实现中的一个缺陷. 通过建立中间机器(MitM), 攻击者可以欺骗客户机,使其认为正在与Kerberos身份验证服务器直接通信, 然后绕过身份验证,在网络上冒充客户端用户. 虽然利用需要在本地网络上的一个现有的立足点,CVSS 3.1个基本分数为9分.1和微软的专有严重性等级为critical反映了不需要用户交互或事先认证. 微软还指出,它认为利用这个漏洞的可能性更大.
Exchange:连续两个月无安全补丁
Exchange管理员在上个月缺乏Exchange安全补丁后,本月又一次得到了喘息的机会:今天没有发布Exchange安全补丁.
SQLite总比没有好
2024年1月的Windows安全更新包括一个补丁 cve - 2022 - 35737在3之前的SQLite版本中存在漏洞.39.2早在2022年8月就首次披露. 目前还不清楚微软为什么选择现在修补这个漏洞, 但这是一个受欢迎的发展. 关注补丁星期二的人想知道为什么Windows会捆绑SQLite,他们可能有兴趣知道 WinUI库UX开发框架 提供SQLite交互功能,文档中提到了这一点 包含SQLite 所有支持的Windows版本.
微软产品生命周期更新
从今天开始,许多微软产品从主流支持过渡到扩展支持:Exchange Server 2019, Hyper-V服务器2019, SharePoint服务器2019, Skype for Business 2019(客户端和服务器), 以及Windows 10: Enterprise LTSC 2019的各个方面, 物联网核心LTSC, 物联网企业LTSC 2019, 物联网LTSC 2019核心, Windows Server 2019, Windows Server IoT 2019, 和Windows Server IoT 2019 for Storage. 还将转向扩展支持:Dynamics SL 2018和Project Server 2019. 在扩展支持生命周期阶段, 微软继续提供安全更新, 但通常不发布新功能. 微软消费者产品不提供扩展支持.
今天标志着微软Dynamics CRM 2013之路的结束, 哪一个超过了延长支持期限. 没有ESU计划可用, 因此,管理员必须迁移到更新版本的Dynamics CRM以继续接收安全更新.
总结图表
汇总表
Azure的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 20676 | Azure Storage Mover远程代码执行漏洞 | No | No | 8 |
浏览器的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 0225 | Chromium: cve - 2024 - 0225在WebGPU免费后使用 | No | No | N/A |
| cve - 2024 - 0224 | Chromium: cve - 2024 - 0224免费后在WebAudio中使用 | No | No | N/A |
| cve - 2024 - 0223 | 修复:cve - 2024 - 0223在ANGLE中堆缓冲区溢出 | No | No | N/A |
| cve - 2024 - 0222 | 铬:cve - 2024 - 0222在ANGLE免费后使用 | No | No | N/A |
开发人员工具漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 0057 | 网, .. NET框架和Visual Studio安全特性绕过漏洞 | No | No | 9.1 |
| cve - 2024 - 20656 | Visual Studio特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 21312 | .. NET框架拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 20672 | .. NET Core和Visual Studio拒绝服务漏洞 | No | No | 7.5 |
开发人员工具Azure漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21319 | 微软身份拒绝服务漏洞 | No | No | 6.8 |
开发人员工具SQL Server漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 0056 | 微软.Data.SqlClient和System.Data.SqlClient SQL数据提供程序安全特性绕过漏洞 | No | No | 8.7 |
ESU Windows漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 20674 | Windows Kerberos安全特性绕过漏洞 | No | No | 9 |
| cve - 2024 - 20654 | 微软ODBC驱动程序远程代码执行漏洞 | No | No | 8 |
| cve - 2024 - 20682 | Windows加密服务远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 20683 | Win32k特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 20658 | 微软虚拟硬盘提升特权漏洞 | No | No | 7.8 |
| cve - 2024 - 20653 | 微软通用日志文件系统特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 20652 | Windows HTML平台安全功能绕过漏洞 | No | No | 7.5 |
| cve - 2024 - 21307 | 远程桌面客户端远程代码执行漏洞 | No | No | 7.5 |
| cve - 2024 - 20661 | 微软消息队列拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 20657 | Windows组策略特权提升漏洞 | No | No | 7 |
| cve - 2024 - 20655 | 微软在线证书状态协议(OCSP)远程代码执行漏洞 | No | No | 6.6 |
| cve - 2024 - 21320 | Windows主题欺骗漏洞 | No | No | 6.5 |
| cve - 2024 - 20680 | Windows消息队列客户端(MSMQC)信息披露 | No | No | 6.5 |
| cve - 2024 - 20663 | Windows消息队列客户端(MSMQC)信息披露 | No | No | 6.5 |
| cve - 2024 - 20660 | 微软消息队列信息泄露漏洞 | No | No | 6.5 |
| cve - 2024 - 20664 | 微软消息队列信息泄露漏洞 | No | No | 6.5 |
| cve - 2024 - 21314 | 微软消息队列信息泄露漏洞 | No | No | 6.5 |
| cve - 2024 - 20692 | 微软本地安全授权子系统服务信息泄露漏洞 | No | No | 5.7 |
| cve - 2024 - 21311 | Windows Cryptographic 服务信息泄露漏洞 | No | No | 5.5 |
| cve - 2024 - 21313 | Windows TCP/IP信息泄露漏洞 | No | No | 5.3 |
| cve - 2024 - 20662 | Windows在线证书状态协议(OCSP)信息泄露漏洞 | No | No | 4.9 |
| cve - 2024 - 20691 | Windows主题信息泄露漏洞 | No | No | 4.7 |
微软 Office漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21318 | 微软 SharePoint服务器远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 20677 | 微软 Office远程代码执行漏洞 | No | No | 7.8 |
Windows操作系统漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 20681 | Windows子系统for Linux的特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 21309 | Windows内核模式驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 20698 | Windows内核特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 21310 | Windows Cloud Files迷你过滤器驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 20686 | Win32k特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 20700 | Windows Hyper-V远程代码执行漏洞 | No | No | 7.5 |
| cve - 2024 - 20687 | 微软AllJoyn API拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 20696 | Windows libchive远程代码执行漏洞 | No | No | 7.3 |
| cve - 2024 - 20697 | Windows libchive远程代码执行漏洞 | No | No | 7.3 |
| cve - 2024 - 20666 | BitLocker安全功能绕过漏洞 | No | No | 6.6 |
| cve - 2024 - 20690 | Windows附近共享欺骗漏洞 | No | No | 6.5 |
| cve - 2024 - 21316 | Windows Server密钥分发服务安全特性绕过 | No | No | 6.1 |
| cve - 2024 - 21306 | 微软蓝牙驱动程序欺骗漏洞 | No | No | 5.7 |
| cve - 2024 - 20699 | Windows Hyper-V拒绝服务漏洞 | No | No | 5.5 |
| cve - 2024 - 20694 | Windows coremessmessaging信息泄露漏洞 | No | No | 5.5 |
| cve - 2024 - 21305 | 管理程序保护的代码完整性(HVCI)安全特性绕过漏洞 | No | No | 4.4 |
| cve - 2024 - 21325 | 微软打印机元数据疑难解答工具远程代码执行漏洞 | No | No | N/A |
Windows水手漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2022 - 35737 | MITRE: cve - 2022 - 35737 SQLite允许数组边界溢出 | No | No | N/A |
更新
- 2024-01-09增加了SQLite漏洞cve - 2022 - 35737的提及.
- 2024-01-10: CVE-2023-29357 微软 SharePoint Server特权升级漏洞添加到CISA KEV中.
