本月微软发布48个漏洞补丁、谷歌发布58个漏洞补丁。

作为2024 年开年， 1 月微软的周二补丁日更新的一部分，微软本月已解决了其软件中总共48个安全漏洞。

在 48 个漏洞中，有 2 个的严重程度被评为“严重”，46 个错误的严重程度被评为“重要”。自2023 年 12 月补丁星期二更新发布以来，基于 Chromium 的 Edge 浏览器中已解决了九个安全漏洞，此外还修复了这些漏洞。这还包括对零日漏洞（CVE-2023-7024，CVSS 评分：8.8）的修复，谷歌称该漏洞已在野外被积极利用。

本月修复的缺陷中最关键的缺陷如下：

• CVE-2024-20674（CVSS 评分：9.0）- Windows Kerberos 安全功能绕过漏洞

• CVE-2024-20700（CVSS 评分：7.5）- Windows Hyper-V 远程代码执行漏洞

微软在 CVE-2024-20674 的通报中表示：“身份验证功能可能会被绕过，因为该漏洞允许冒充。”

“经过身份验证的攻击者可以通过建立中间机 (MitM) 攻击或其他本地网络欺骗技术来利用此漏洞，然后向客户端受害者计算机发送恶意 Kerberos 消息，将其自身欺骗为 Kerberos 身份验证服务器。”

然而，该公司指出，成功利用该漏洞需要攻击者首先获得对受限网络的访问权限。安全研究人员ldwilmore34被认为发现并报告了该缺陷。

另一方面，CVE-2024-20700 既不需要身份验证，也不需要用户交互来实现远程代码执行，尽管赢得竞争条件是发动攻击的先决条件。

“目前尚不清楚攻击者究竟位于何处——虚拟机管理程序所在的 LAN，还是由虚拟机管理程序创建和管理的虚拟网络——或者远程代码执行将在什么环境中发生，”首席软件人员 Adam Barnett 说道。Rapid7 的工程师告诉《黑客新闻》。

其他值得注意的缺陷包括CVE-2024-20653（CVSS 评分：7.8）（影响通用日志文件系统（CLFS）驱动程序的权限升级缺陷）和CVE-2024-0056（CVSS 评分：8.7）（影响系统的安全绕过）。Data.SqlClient 和 Microsoft.Data.SqlClient。

Redmond 在谈到 CVE-2024-0056 时表示：“成功利用此漏洞的攻击者可以实施中间机 (MitM) 攻击，并解密、读取或修改客户端和服务器之间的 TLS 流量。”

微软进一步指出，由于存在可能导致远程代码执行的安全缺陷（ CVE-2024-20677 ，CVSS 评分：7.8） ，默认情况下它会禁用在 Windows 中的 Word、Excel、PowerPoint 和 Outlook 中插入 FBX 文件的功能。

微软在另一份警告中表示：“除非在插入时选择了‘链接到文件’选项，否则之前从 FBX 文件插入的 Office 文档中的 3D 模型将继续按预期工作。” “GLB（二进制 GL 传输格式）是推荐在 Office 中使用的替代 3D 文件格式。”

值得注意的是，去年Zscaler在 Microsoft 365 应用程序中发现 117 个安全漏洞后，微软采取了类似的步骤，在 Office 中禁用了 SketchUp (SKP) 文件格式。

在谈及微软之余，我们看一下安卓本月的大致情况：

Android 2024 年 1 月安全更新修补了 58 个漏洞

谷歌发布了针对 Android 平台 58 个漏洞的补丁，并修复了 Pixel 设备中的 3 个安全漏洞，拉开了 2024 年的序幕。

Android 2024 年 1 月更新的第一部分以 2024 年 1 月 1 日安全补丁级别发布在设备上，解决了框架和系统组件中的 10 个安全漏洞，所有漏洞均被评为“高严重性”。

谷歌在其公告中指出：“这些问题中最严重的是框架组件中的一个高安全漏洞，可能会导致本地权限升级，而无需额外的执行权限。”

该安全更新解决了框架组件中的五个缺陷，包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题，包括一项特权提升和四项信息泄露缺陷。

更新的第二部分，即 2024 年 1 月 5 日安全补丁级别，包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。

虽然大多数已解决的错误的严重性评级为“高”，但高通组件中的三个问题被评级为“严重”。

所有运行安全补丁级别为 2024 年 1 月 5 日的设备都已针对所有这些缺陷以及之前的 Android 安全更新解决的漏洞进行了修补。

本月，谷歌修复了影响 Pixel 设备的三个安全缺陷，所有缺陷均由高通组件构成，且全部被评为“中等严重性”。

运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷以及 Android 2024 年 1 月安全公告中详细介绍的所有错误进行了修补。

谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞，该漏洞作为更新的一部分得到解决，该更新还包括 Android 2024 年 1 月安全更新的补丁。

所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。

这家互联网巨头没有提及任何这些漏洞在攻击中被利用。不过，建议用户尽快更新他们的设备。

微软补丁日系列回顾

微软2023年1月份于周二补丁日针对98个漏洞发布安全补丁

微软2023年2月份于周二补丁日针对75个漏洞发布安全补丁

微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁

微软2023年4月份于周二补丁日针对97个漏洞发布安全补丁

微软2023年5月份于周二补丁日针对38个漏洞发布安全补丁

微软2023年6月份于周二补丁日针对69个漏洞发布安全补丁

微软2023年7月份于周二补丁日针对132个漏洞发布安全补丁

微软2023年8月份于周二补丁日针对74个漏洞发布安全补丁

微软2023年9月份于周二补丁日针对59个漏洞发布安全补丁

微软2023年10份于周二补丁日针对103个漏洞发布安全补丁

微软2023年11份于周二补丁日针对63个漏洞发布安全补丁

微软2023年12份于周二补丁日针对33个漏洞发布安全补丁

原文始发于微信公众号（祺印说信安）：微软2024年1月份于周二补丁日针对48个漏洞发布安全补丁