微软 2024 年 1 月 Windows 更新修补了 48 个新漏洞

作为 2024 年 1 月补丁星期二更新的一部分，微软已解决了其软件中总共48 个安全漏洞。

在 48 个错误中，有 2 个错误的严重程度被评为“严重”，46 个错误的严重程度被评为“重要”。没有证据表明任何问题在发布时已为公众所知或受到积极攻击，这使其成为连续第二个没有零日漏洞的补丁星期二。

自2023 年 12 月补丁星期二更新发布以来，基于 Chromium 的 Edge 浏览器中已解决了九个安全漏洞，此外还修复了这些漏洞。这还包括对零日漏洞（CVE-2023-7024，CVSS 评分：8.8）的修复，谷歌称该漏洞已在野外被积极利用。

本月修复的缺陷中最关键的缺陷如下：

CVE-2024-20674（CVSS 评分：9.0）- Windows Kerberos 安全功能绕过漏洞
CVE-2024-20700（CVSS 评分：7.5）- Windows Hyper-V 远程代码执行漏洞
微软在 CVE-2024-20674 的通报中表示：“身份验证功能可能会被绕过，因为该漏洞允许冒充。”

网络安全
“经过身份验证的攻击者可以通过建立中间机 (MitM) 攻击或其他本地网络欺骗技术来利用此漏洞，然后向客户端受害者计算机发送恶意 Kerberos 消息，将其自身欺骗为 Kerberos 身份验证服务器。”

然而，该公司指出，成功利用该漏洞需要攻击者首先获得对受限网络的访问权限。安全研究人员ldwilmore34被认为发现并报告了该缺陷。

另一方面，CVE-2024-20700 既不需要身份验证，也不需要用户交互来实现远程代码执行，尽管赢得竞争条件是发动攻击的先决条件。

“目前尚不清楚攻击者究竟位于何处——虚拟机管理程序所在的 LAN，还是由虚拟机管理程序创建和管理的虚拟网络——或者远程代码执行将在什么环境中发生，”首席软件人员 Adam Barnett 说道。 Rapid7 的工程师告诉《黑客新闻》。

其他值得注意的缺陷包括CVE-2024-20653（CVSS 评分：7.8）（影响通用日志文件系统（CLFS）驱动程序的权限升级缺陷）和CVE-2024-0056（CVSS 评分：8.7）（影响系统的安全绕过）。 Data.SqlClient 和 Microsoft.Data.SqlClient。

雷蒙德表示：“成功利用此漏洞的攻击者可以实施中间机 (MitM) 攻击，并解密、读取或修改客户端和服务器之间的 TLS 流量。”

微软进一步指出，由于存在可能导致远程代码执行的安全缺陷（ CVE-2024-20677 ，CVSS 评分：7.8） ，默认情况下它会禁用在 Windows 中的 Word、Excel、PowerPoint 和 Outlook 中插入 FBX 文件的功能。

网络安全
微软在另一份警告中表示：“除非在插入时选择了‘链接到文件’选项，否则之前从 FBX 文件插入的 Office 文档中的 3D 模型将继续按预期工作。” “GLB（二进制 GL 传输格式）是推荐在 Office 中使用的替代 3D 文件格式。”

值得注意的是，在ZScaler在 Microsoft 365 应用程序中发现 117 个安全漏洞后，微软采取了类似的步骤，在 Office 中禁用 SketchUp (SKP) 文件格式。

其他供应商的软件补丁#
除了微软之外，其他供应商在过去几周也发布了安全更新来修复多个漏洞，包括：

土坯
AMD
安卓
手臂
华硕
博世
思科
戴尔
F5
飞塔
谷歌浏览器
谷歌云
生命值
国际商业机器公司
英特尔
联想
Linux 发行版Debian、Oracle Linux、Red Hat、SUSE和Ubuntu
联发科
美国网件公司
高通
三星
树液
施耐德电气
西门子
斯普朗克
群晖科技
趋势科技
津布拉，和
飞涨