本月,Microsoft发布了48个补丁,Google发布了58个补丁。
作为 Microsoft 在 2024 年开始的 1 月份的 Patch Tuesday 更新的一部分,Microsoft 本月共解决了其软件中的 48 个安全漏洞。
在 48 个漏洞中,2 个被评为严重漏洞,46 个漏洞被评为严重性严重漏洞。 自 2023 年 12 月补丁星期二更新发布以来,除了修复这些漏洞外,基于 Chromium 的 Edge 浏览器中还解决了 9 个安全漏洞。 这还包括对零日漏洞的支持(CVE-2023-7024,CVSS 评分:8。8),谷歌表示,该漏洞已被广泛利用。
本月修复的最关键错误如下:
CVE-2024-20674(CVSS 评分:9。0)- Windows Kerberos 安全功能绕过漏洞 CVE-2024-20700(CVSS 分数:7。5)- Windows Hyper-V Remote** 执行漏洞 Microsoft 在 CVE-2024-20674 的公告中表示:“身份验证功能可能会被绕过,因为该漏洞允许冒充。 ”
经过身份验证的攻击者可以通过建立中间中间 (MITM) 攻击或其他本地网络欺骗技术,然后通过向客户端受害者计算机发送恶意 Kerberos 消息来将自身欺骗为 Kerberos 身份验证服务器,从而利用此漏洞。 ”
但是,该公司指出,成功利用该漏洞需要攻击者首先访问受限网络。 据信,安全研究员 ldwilmore34 已经发现并报告了该漏洞。
另一方面,CVE-2024-20700 既不需要身份验证也不需要用户交互即可进行远程执行,尽管赢得竞争条件是发起攻击的先决条件。
目前尚不清楚攻击者的确切位置 - 虚拟机管理程序所在的LAN,或由虚拟机管理程序创建和管理的虚拟网络 - 或者远程执行将在什么环境中进行,“首席软件官Adam Barnett说。 Rapid7 的工程师告诉 Hacker News。
其他值得注意的缺陷包括 CVE-2024-20653(CVSS 分数:7。8) (影响通用日志文件系统 (CLFS) 驱动程序的权限升级缺陷)和 CVE-2024-0056(CVSS 分数:8。7) (影响系统的安全绕过)。data.SQLConvice 和 Microsoftdata.sqlclient。
Redmond 在评论 CVE-2024-0056 时表示:“成功利用此漏洞的攻击者可以执行中间机器 (MITM) 攻击,并解密、读取或修改客户端和服务器之间的 TLS 流量。 ”
Microsoft 进一步指出,由于存在可能导致远程执行的安全漏洞(CVE-2024-20677,CVSS 评分:7)。8) 默认情况下,它禁用在 Windows 的 Word、Excel、PowerPoint 和 Outlook 中插入 FBX 文件的功能。
在另一个警告中,Microsoft说:“以前从FBX文件插入的Office文档中的3D模型将继续按预期工作,除非在插入时选择了'链接到文件'选项。 GLB(二进制 GL 传输格式)是建议在 Office 中使用的替代 3D 文件格式。 ”
值得注意的是,在Zscaler去年在Microsoft 365应用程序中发现117个安全漏洞后,Microsoft采取了类似的步骤,在Office中禁用了SketchUp(SKP)文件格式。
除了说Microsoft,我们来看看本月Android的大致情况:
谷歌在 2024 年伊始针对 Android 平台中的 58 个漏洞进行了补丁,并修复了 Pixel 设备中的 3 个安全漏洞。
2024 年 1 月 Android 更新的第 1 部分在安全补丁级别为 2024 年 1 月 1 日的设备上发布,解决了框架和系统组件中的 10 个安全漏洞,所有这些漏洞的严重等级均为“高”。
谷歌在公告中指出:“这些问题中最严重的是框架组件中的高安全性漏洞,可能导致本地权限升级,而无需额外的执行权限。 ”
此安全更新解决了框架组件中的五个缺陷,包括 4 个权限升级和 1 个信息泄露错误。 在系统组件中还解决了其他五个问题,包括一个特权提升和四个信息披露缺陷。
更新的第二部分,即 2024 年 1 月 5 日的安全补丁级别,包括 Arm、Imagination Technologies、Mediatek、UNISOC 和 Qualcomm 组件中 48 个漏洞的补丁。
虽然大多数已解决的错误被评定为“高”严重性,但高通组件中的三个问题被评为“严重”。
所有运行 2024 年 1 月 5 日安全补丁级别的设备都已针对所有这些缺陷以及之前的 Android 安全更新解决的漏洞进行了修补。
本月,谷歌修复了影响Pixel设备的三个安全漏洞,所有这些漏洞都由高通组件组成,并且都被评为“中等严重性”。
搭载 2024 年 1 月 5 日安全补丁程序级别的 Pixel 设备已修复了这些缺陷,以及 Android 2024 年 1 月安全公告中详述的所有缺陷。
谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞,该漏洞已作为更新的一部分得到解决,该更新还包括 Android 2024 年 1 月安全更新的补丁。
Pixel Watch 设备的 2024-01-05 补丁级别更新也解决了所有这些缺陷。
这家互联网巨头没有提到攻击中利用的任何这些漏洞。 不过,建议用户尽快更新他们的设备。