微软周三透露,该公司每月发布的补丁程序修复了威胁行为者在网络攻击中利用的两个 Windows 漏洞。
根据趋势科技的达斯汀·柴尔兹 (Dustin Childs) 的统计,这家科技巨头在每月发布的软件错误修复(非正式称为“补丁星期二”)中总共修复了 89 个 CVE(常见漏洞和暴露)。
“这意味着微软又一个修复大量漏洞的月份,今年迄今为止已修复了 949 个 CVE,”趋势科技零日计划威胁意识负责人 Childs 写道。“即使不计算 12 月的修复数量,2024 年也是微软修复数量第二多的一年。”
微软表示,在月度发布版本中修复的漏洞包括 MSHTML 中的 Windows 漏洞和 Windows 任务计划程序缺陷,这两个漏洞均已被利用,但就严重程度而言均未被认定为“严重”问题。
MSHTML 中的 Windows 漏洞(跟踪号 CVE-2024-43451)是一个 NTLM 哈希泄露欺骗漏洞,该漏洞被评为“重要”,严重性评分为 6.5(满分 10.0)。
Windows 任务计划程序漏洞(编号为 CVE-2024-49039)可被利用来在攻击中提升权限。该漏洞也被评为“重要”,严重性评分为 8.8(满分 10.0)。
根据 Childs 的博客,其他四个漏洞的严重程度被评为“严重”,其中两个漏洞可实现远程执行代码:
- .NET 和 Visual Studio 远程代码执行漏洞 (CVE-2024-43498)
- Airlift.microsoft.com 特权提升漏洞 (CVE-2024-49056)
- Microsoft Windows VMSwitch 特权提升漏洞 (CVE-2024-43625)
- Windows Kerberos 远程代码执行漏洞 (CVE-2024-43639)
周三补丁版本中修复的其他漏洞影响微软产品和平台,包括 Office、Azure、SQL Server 和 Hyper-V。