微软于周二发布了2024年10月的补丁,该补丁涉及118个安全漏洞,其中包括五个公开披露的零周日,其中两个是在野外积极利用的。
在118个缺陷中,有3个被评为关键,108个很重要,而7则是低严重程度。这些漏洞发生在不同的平台上,包括Azure CLI,Microsoft Defender for Endpoint,Microsoft Office,Microsoft Edge,Visual Studio,Windows Storage,Windows Remote台式机,DeepSpeed,DeepSpeed以及各种Windows 10、11和Windows Server组件。
标记为“关键”的三个漏洞都是远程代码执行(RCE)缺陷,如果利用,攻击者可以在设备上运行任意代码。
- CVE-2024-43582:影响Windows远程桌面。 Microsoft说:“要利用此漏洞,未经验证的攻击者需要将错误的数据包发送到RPC主机。这可能会导致服务器端的远程代码执行,并具有与RPC服务相同的权限。”但是,成功利用此漏洞需要攻击者赢得比赛状况。
- CVE-2024-43488:此漏洞会影响Arduino的Visual Studio代码扩展。根据其建议,微软已经完全缓解了此漏洞,这意味着该服务的用户不采取任何行动。
- CVE-2024-43468:影响Microsoft Configuration Manager。根据微软的说法,“未经验证的攻击者可以通过将特殊精心设计的请求发送到目标环境中,以不安全的方式处理该漏洞,从而使攻击者能够在服务器上执行命令和/或基础数据库。”
此外,这两个在野外积极利用的零日漏洞,微软在2024年10月的补丁周二更新中提到的是:
- CVE-2024-43573- Windows MSHTML平台欺骗漏洞
这种欺骗漏洞会影响Windows MSHTML,Windows MSHTML是Windows Apps使用的浏览器渲染引擎,包括Internet Explorer和Microsoft Office产品,用于渲染Web内容。
“尽管Microsoft已在某些平台上宣布了Internet Explorer 11应用程序的退休,并且对Microsoft Edge Legacy应用程序进行了弃用,但仍支持下面的MSHTML,EdgeHTML和脚本平台。MSHTML平台在Microsoft Edge和其他应用程序中使用了Microsoft的Internet Explorer在Microsoft中使用Internet Explorer Mode在Microsoft中使用Microsoft,并在Microsoft中使用Microsoft,并在Microsoft中使用。”
“The EdgeHTML platform is used by WebView and some UWP applications. The scripting platforms are used by MSHTML and EdgeHTML but can also be used by other legacy applications. Updates to address vulnerabilities in the MSHTML platform and scripting engine are included in the IE Cumulative Updates; EdgeHTML and Chakra changes are not applicable to those platforms.”
- CVE-2024-43572- Microsoft管理控制台远程代码执行漏洞
此漏洞利用允许恶意Microsoft保存的控制台(MSC)文件在目标设备上执行RCE。为了保护客户免受与此漏洞相关的风险,微软通过防止未经信任的MSC文件打开来减轻这种情况。
此外,尽管Microsoft认为它们对修补:
- CVE-2024-6197:此RCE缺陷会影响Windows Curl实现,这要求客户端连接到恶意服务器。但是,利用此缺陷的机会很低,因为它需要用户交互才能选择服务器并与之通信。
- CVE-2024-43583:这是特权脆弱性的Winlogon高程,如果成功利用,攻击者可以获得系统特权。
- CVE-2024-20659:此Hyper-V安全功能旁路漏洞与统一的可扩展固件接口(UEFI)主机计算机中的虚拟机有关。如果成功利用,攻击者可以绕过UEFI主机机器并妥协其内部的虚拟机。
要安装2024年10月的补丁星期二安全更新,请转到设置>更新和安全> Windows Update然后单击检查更新按钮。
您可以在2024年10月的补丁星期二安全更新中查看Microsoft地址的全面漏洞列表这里。
![2025 年如何下载 JW Player 视频 [5 种最佳方法]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2021/11/JW-Player-Video-Download.png)
