微软发布了安全更新,以解决51个缺陷,作为其2024年6月补丁星期二更新的一部分。
在51个漏洞中,一个被评为关键漏洞,50个被评为重要漏洞。除此之外,过去一个月在基于Chromium的Edge浏览器中解决了17个漏洞。
没有一个安全漏洞在野外被积极利用,其中一个漏洞在发布时被列为公开的。
这涉及跟踪为CVE-2023-50868(CVSS分数:7.5)的第三方咨询,这是一个影响DNSSEC验证过程的拒绝服务问题,可能导致DNSSEC验证解析器的CPU耗尽。
早在2月份,达姆施塔特国家应用网络安全研究中心(ATHENE)的研究人员与KeyTrap一起报告(CVE-2023-50387,CVSS得分:7.5)。
Fortra安全研发副总监Tyler Reguly在一份声明中表示,NSEC3是NSEC(Next Secure)的改进版本,提供经过身份验证的否认。通过证明记录不存在(以及周围记录的证据),您可以帮助防止DNS缓存中毒到不存在的域。
由于这是一个协议级漏洞,微软以外的产品受到知名DNS服务器的影响,如bind、powerdns、dnsmasq等,也会发布更新来解决这个问题。
本月更新中修复的最严重的缺陷是微软消息队列(MSMQ)服务(CVE-2024-30080,CVSS评分:9.8)中的关键远程代码执行(RCE)缺陷。
微软表示,要利用此漏洞,攻击者需要将特制的恶意MSMQ数据包发送到MSMQ服务器。这可能会导致服务器端的远程代码执行。
Redmond还解决了影响Microsoft Outlook(CVE-2024-30103)、Windows Wi-Fi驱动程序(CVE-2024-30078)的其他几个RCE错误,以及Windows Win32内核子系统(CVE-2024-30086)、Windows云文件迷你过滤器驱动程序(CVE-2024-30085)和Win32k(CVE-2024-30082)等中的许多特权升级缺陷。
发现CVE-2024-30103的网络安全公司Morphisec表示,该缺陷可用于触发代码执行,而无需用户单击或与电子邮件内容交互。
安全研究员Michael Gorelik说,缺乏所需的用户交互,加上漏洞的直截了当性,增加了对手利用这个漏洞进行初始访问的可能性。
一旦攻击者成功利用此漏洞,他们就可以以与用户相同的特权执行任意代码,这可能会导致完全的系统妥协。
暂无评论内容