微软紧急修复五个零日漏洞及众多其他缺陷
昨天是 2024 年 9 月 10 日,你知道这意味着什么——这是补丁日,每个月的第二个星期二,微软会为 Windows 发布安全更新。
这一次,共解决了 79 个安全漏洞,其中除一个外,其余均被归类为“严重”或“高风险”。
据微软所说,其中有四个漏洞已在实际环境中被利用,所以一定要确保尽快更新。
大多数漏洞——总计 67 个——分布于各种 Windows 版本之中,涵盖 Windows 10、Windows 11 以及 Windows Server。
Windows 7 和 8.1 不再在安全报告中被提及,所以它们或许仍存在漏洞。
除非你有非常充分的理由,否则你应该考虑切换到 Windows 10(22H2)或 Windows 11(23H2)以继续接收安全更新。(请注意,Windows 10 将在 2025 年停止支持,所以 Windows 11 是更好的选择。)
补丁日还涵盖了 Windows 11 24H2 的更新,不过秋季更新仍在内部人员中测试,尚未公开可用。
也就是说,如果您还在运行 Windows 11 22H2,那您应该尽快更新为 Windows 11 23H2。不然,您可能会遭遇强制更新的风险,这可能会带来干扰。(Windows 11 22H2 将在 2024 年 10 月 8 日接收其最终的安全更新。)
正如所提到的,一些已修复的 Windows 安全漏洞已在现实世界的攻击中被使用。(其中一个欺骗问题 CVE-2024-43461 有争议。)
微软在安全更新指南中没有提供关于这些零日漏洞的太多细节,但达斯汀·蔡尔德在零日倡议博客中提到了它们。蔡尔德声称,在野外发现了该欺骗问题的利用漏洞的情况,并已报告给微软,但微软未将该漏洞列为正在遭受攻击。
2024 年 9 月补丁日最重要的安全漏洞
关于漏洞 CVE-2024-38217,微软表示,安全功能绕过漏洞不仅正在被利用,而且事先已公开为人所知。这个漏洞影响下载文件的“Web 标记”(MotW),使得保护措施有可能被绕过。
关于漏洞 CVE-2024-43491,它是四个零日漏洞中唯一的远程代码执行(RCE)问题。此漏洞仅影响部分较旧版本的 Windows 10,且只有先安装更新 KB5043936,再安装更新 KB5043083 才能消除。微软表示较新的 Windows 10 版本不受影响。
关于漏洞 CVE-2024-38014,这种特权提升(EoP)威胁存在于所有当前受支持的 Windows 版本(包括服务器版本)的 Windows 安装程序中。利用此漏洞的攻击者能够在无需用户交互的情况下给自己授予系统权限。(确切机制尚不清楚,但通常攻击者会将 EoP 漏洞与 RCE 漏洞结合起来远程运行恶意代码。)
还有好几个被归类为关键的安全漏洞,其中有一个影响 Windows 并且目前尚未受到攻击。
RCE 漏洞 CVE-2024-38119 会影响网络地址转换(NAT),并且要求攻击者处于同一网络。这是因为 NAT 通常不具备路由功能,这意味着它无法跨网络边界被利用。
此外,Windows 远程桌面服务存在七个漏洞,包括四个远程代码执行(RCE)漏洞。在微软管理控制台(CVE-2024-38259)和桌面版 Power Automate(CVE-2024-43479)中各有一个 RCE 漏洞。
在这次补丁里,微软消除了其 Office 产品中的 11 个漏洞,包括一个零日漏洞和另外两个被归类为严重的漏洞。
安全功能绕过漏洞 CVE-2024-38226 被一个未知人员在 Microsoft Publisher 中发现,而且马上就被利用了。
所以呢,攻击者得说服用户在 Publisher 里打开一个专门准备的文件。
要是成功了,Office 里的宏指南就会被绕过,恶意代码也会被执行。
微软将 SharePoint Server 中的两个 RCE 漏洞(CVE-2024-38018、CVE-2024-43464)归类为严重。然而,SharePoint Server 中的另一个 RCE 漏洞(CVE-2024-38227)和 Visio 中的一个(CVE-2024-43463)仅被视为高风险。
本月,微软在 SQL Server 中解决了 13 个安全漏洞,其中 6 个是 CVSS 评分为 8.8 的远程代码执行(RCE)漏洞。微软还修复了 3 个权限提升漏洞(EoP)和 4 个数据泄露漏洞。
微软 Edge 浏览器的最新安全更新版本是 9 月 3 日的 128.0.2739.63,基于 Chromium 128.0.6613.120。然而,它尚未出现在安全更新指南中。(发行说明也相当简略,并且延迟一周才出现。)9 月 5 日对 Edge 的 128.0.2739.67 更新仅修复了几个错误。
然而,谷歌于 9 月 10 日为 Chrome 发布了新的安全更新,修复了几个被归类为高风险的漏洞。微软对此尚未作出回应。