微软为51个缺陷发布补丁，包括关键的MSMQ漏洞

微软发布了安全更新，以解决51个缺陷，作为其2024年6月补丁星期二更新的一部分。

在51个漏洞中，一个被评为关键漏洞，50个被评为重要漏洞。除此之外，过去一个月在基于Chromium的Edge浏览器中解决了17个漏洞。

没有一个安全漏洞在野外被积极利用，其中一个漏洞在发布时被列为公开的。

这涉及跟踪为CVE-2023-50868（CVSS分数：7.5）的第三方咨询，这是一个影响DNSSEC验证过程的拒绝服务问题，可能导致DNSSEC验证解析器的CPU耗尽。

早在2月份，达姆施塔特国家应用网络安全研究中心（ATHENE）的研究人员与KeyTrap一起报告（CVE-2023-50387，CVSS得分：7.5）。

Fortra安全研发副总监Tyler Reguly在一份声明中表示，NSEC3是NSEC（Next Secure）的改进版本，提供经过身份验证的否认。通过证明记录不存在（以及周围记录的证据），您可以帮助防止DNS缓存中毒到不存在的域。

由于这是一个协议级漏洞，微软以外的产品受到知名DNS服务器的影响，如bind、powerdns、dnsmasq等，也会发布更新来解决这个问题。

本月更新中修复的最严重的缺陷是微软消息队列（MSMQ）服务（CVE-2024-30080，CVSS评分：9.8）中的关键远程代码执行（RCE）缺陷。

微软表示，要利用此漏洞，攻击者需要将特制的恶意MSMQ数据包发送到MSMQ服务器。这可能会导致服务器端的远程代码执行。

Redmond还解决了影响Microsoft Outlook（CVE-2024-30103）、Windows Wi-Fi驱动程序（CVE-2024-30078）的其他几个RCE错误，以及Windows Win32内核子系统（CVE-2024-30086）、Windows云文件迷你过滤器驱动程序（CVE-2024-30085）和Win32k（CVE-2024-30082）等中的许多特权升级缺陷。

发现CVE-2024-30103的网络安全公司Morphisec表示，该缺陷可用于触发代码执行，而无需用户单击或与电子邮件内容交互。

安全研究员Michael Gorelik说，缺乏所需的用户交互，加上漏洞的直截了当性，增加了对手利用这个漏洞进行初始访问的可能性。

一旦攻击者成功利用此漏洞，他们就可以以与用户相同的特权执行任意代码，这可能会导致完全的系统妥协。