导 读
11月26日,微软发布了四个新的安全公告,修复四个安全漏洞。这些漏洞是在 Microsoft Copilot Studio、Partner.Microsoft.Com 门户、Azure PolicyWatch 和 Dynamics 365 Sales 中检测到的。
Microsoft Copilot Studio 是一个供开发人员构建 AI 代理并使用自动化更快地编写代码的平台,该平台受到 9.3 分高危漏洞 ( CVE-2024-49038 ) 的影响。微软表示,它已完全缓解了这一漏洞,用户无需采取进一步措施。
微软表示:“未经授权的攻击者在 Copilot Studio 中生成网页(“跨站点脚本”)时对输入进行不当中和,会导致网络特权提升。”
Partner.Microsoft.Com 是 Microsoft 合作伙伴提供资源和工具的官方门户网站,受到8.7分特权提升漏洞的影响,漏洞编号为CVE-2024-49035。
Microsoft 检测到有人在利用此不当访问控制漏洞。未经身份验证的攻击者可利用此漏洞提升网络权限。用户无需采取任何措施 - 几天内将自动推出补丁。
Microsoft Azure PolicyWatch 是 Microsoft Azure 中的一项服务,允许组织创建、分配和管理策略,该服务受到 8.2分漏洞 ( CVE-2024-49052 ) 的影响。
描述中写道:“Microsoft Azure PolicyWatch 中关键功能缺少身份验证,导致未经授权的攻击者可以通过网络提升权限。”
微软表示,该漏洞已得到完全缓解,该服务的用户无需采取任何措施。
基于云的客户关系管理 (CRM) 解决方案 Microsoft Dynamics 365 Sales 受到重要 7.6 分(满分 10 分)欺骗漏洞( CVE-2024-49053) 的影响。
它使潜在攻击者能够修改易受攻击的链接的内容,将受害者重定向到恶意网站。攻击者需要经过身份验证才能利用此漏洞。但是,它不需要更高的权限。用户需要点击特制的 URL 才有机会被攻击者入侵。
微软表示:“该漏洞存在于网络服务器中,但恶意脚本会在受害者机器的浏览器中执行。”目前没有迹象表明这个之前未披露的漏洞被利用。
新闻链接:
https://cybernews.com/security/microsoft-patches-four-critical-vulnerabilities/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):微软修补四个漏洞,其中一些漏洞非常严重且已被广泛利用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论