关键词

安全补丁

12日是Microsoft 的 2024 年 3 月补丁日,已经发布了 60 个漏洞的安全更新,其中包括 18 个远程代码执行缺陷。

此补丁星期二仅修复了两个关键漏洞:Hyper-V 远程代码执行和拒绝服务缺陷。

下面列出了每个漏洞类别中的 bug 数量

24 特权提升漏洞

3 安全功能绕过漏洞

18 个远程代码执行漏洞

6 信息泄露漏洞

6 拒绝服务漏洞

2 欺骗漏洞

60 个缺陷的总数不包括 3 月 7 日修复的 4 个 Microsoft Edge 缺陷。

此外,Microsoft没有在今天的补丁星期二更新中披露任何零日漏洞。

要了解有关今天发布的非安全更新的更多信息,您可以查看我们关于新的 Windows 11 KB5035853 更新和 Windows 10 KB5035845 更新的专门文章。

本月的 Patch Tuesday 没有修复任何零日漏洞,但确实包含一些有趣的缺陷,我们在下面列出了这些漏洞。

CVE-2024-21400 - Microsoft Azure Kubernetes 服务机密容器特权提升漏洞CVE-2024-21400 - Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability

Microsoft 修复了 Azure Kubernetes 服务中的一个漏洞,该漏洞可能允许攻击者获得提升的权限并窃取凭据。

“成功利用此漏洞的攻击者可能会窃取凭据并影响超出Azure Kubernetes服务机密容器(AKSCC)管理的安全范围的资源,”Microsoft安全公告解释说。

该漏洞是由Yuval Avrahami发现的。

CVE-2024-26199 - Microsoft Office 特权提升漏洞

Microsoft 修复了一个 Office 漏洞,该漏洞允许任何经过身份验证的用户获得 SYSTEM 权限。

“任何经过身份验证的用户都可能触发此漏洞。它不需要管理员或其他提升的权限,“Microsoft 解释道。

该漏洞是由 Hacking Corporation Sàrl 的 Iván Almuiña 发现的。

CVE-2024-20671 - Microsoft Defender 安全功能绕过漏洞

Microsoft 修复了一个 Microsoft Defender 漏洞,该漏洞可能

“成功利用此漏洞的经过身份验证的攻击者可以阻止 Microsoft Defender 启动,”Microsoft 解释道。

但是,这将通过自动安装在 Windows 设备上的 Windows Defender 反恶意软件平台更新来解决。

此缺陷已在反恶意软件平台版本 4.18.24010.12 中修复。

Microsoft表示,这个漏洞是由Manuel Feifel和Infoguard(Vurex)发现的。

CVE-2024-21411 - Skype for Consumer 远程执行代码漏洞

Microsoft 修复了可由恶意链接或图像触发的远程代码执行漏洞 Skype for Consumer。

“攻击者可以通过即时消息向用户发送恶意链接或恶意图像,然后诱使用户单击链接或图像来利用该漏洞,”Microsoft解释说。

Microsoft表示,这个漏洞是由Hector Peralta和Nicole Armua与Trend Micro Zero Day Initiative合作发现的。

Microsoft官网说明:CVE-2024-21407 - 安全更新程序指南 - Microsoft - Windows Hyper-V 远程执行代码漏洞

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!