吳明宜微軟發布7月安全更新,包含142項漏洞修補,其中4個已遭攻擊濫用。
微軟本周發佈 7 月份 Windows 安全更新,並警告已有攻擊者正利用 Windows Hyper-V 及 MSHTML 漏洞發動攻擊。
本周三的 Patch Tuesday 包含 142 項漏洞更新。其中包含 2 個已經被濫用的已知漏洞,以及 2 個零時差漏洞。零時差漏洞指的是已遭濫用,但第一時間尚無官方修補程式的漏洞。
二個零時差漏洞,一是 CVE-2024-38080,為 Windows Hyper-V 權限升級漏洞。 CVE-2024-38080 原本為一 CVSS 3.1 風險值 7.8 的漏洞,微軟指出,成功濫用該漏洞的攻擊者可取得系統管理員權限。但除此之外微軟並未說明攻擊細節,或是提供入侵指標供企業管理員或研究人員採取行動。
另一項零時差漏洞為 CVE-2024-38112,為 Windows MSHTML 平台欺騙漏洞,成功的漏洞濫用需要攻擊者額外行動架設目標環境,攻擊者需先寄發惡意檔案給受害者,誘騙後者執行。
二項已公開漏洞,其一為 CVE-2024-35264,是. NET 及 Visual Studio 遠端程式碼執行 (RCE) 漏洞,CVE-2024-37985 則是發生在 Arm 晶片韌體,又稱 FetchBench 旁路攻擊漏洞,成功濫用可能讓攻擊者從 Server 的高權限行程中讀取堆積記憶體,以竊取祕密資訊。但微軟說,攻擊者也需事前部署才能完成攻擊。
本次修補的漏洞中,包含 5 項重大漏洞,皆為 RCE 漏洞。 RCE 也是本月修補數量最多的漏洞類型,達 59 個。其次是權限升級、安全功能繞過、阻斷服務(DoS)漏洞,以及資訊洩露與欺騙漏洞。