微软宣布今年首个 Patch Tuesday 共修复 49 项安全漏洞,其中 2 项为严重等级
1月12日,微软宣布 2024 年首个 Patch Tuesday 一共修复了 49 项安全漏洞,其中有 2 项被评为严重(Critical)等级,分别是 Windows Kerberos 的安全功能绕过漏洞 CVE-2024-20674 和 Windows Hyper-V 的远程代码执行漏洞 CVE-2024-20700。
其中Windows Kerberos 漏洞“CVE-2024-20674”的 CVSS 评分高达 9,被认为是“今年最危险的安全漏洞”之一。该漏洞可以让攻击者利用中间人攻击,伪造 Kerberos 认证服务器,欺骗用户的身份验证系统,从而获得受害者设备的文件访问权限。
另一方面,Windows Hyper-V 的“CVE-2024-20700”漏洞的 CVSS 风险评分为 7.5,微软并未透露该漏洞的具体细节,但 Rapid 7 的软件工程师表示,攻击者需要进行复杂的步骤才能利用这个漏洞,因此风险相对较低。
据铋读了解,此外,Rapid 7 还特别提到了一个被列为“重要(Important)”等级,但 CVSS 风险评分高达 8.7 的 CVE-2024-0056 漏洞。这是一个与 Microsoft.Data.SqlClient 和 System.Data.SqlClient 相关的“程序安全功能绕过漏洞”,可以让攻击者绕过客户端和服务器端的加密机制,从而窃取、篡改 TLS 流量。