新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
微软补丁日修复150个安全漏洞(67个RCE)
微软2024年4月补丁日,近期的安全更新修复了150个缺陷,其中67个为远程代码执行漏洞(RCE)。本月的补丁日不包含针对Microsoft披露的0day漏洞的任何修复程序。
超过一半的RCE缺陷是在Microsoft SQL驱动程序中发现的,可能存在一个共同的缺陷。
29个安全功能绕过漏洞
67个远程代码执行漏洞
13个信息泄露漏洞
7个拒绝服务漏洞
3个欺骗漏洞
150个漏洞总数不包括4月4日修复的5个Microsoft Edge缺陷和2个Mariner缺陷。Mariner是Microsoft为其Microsoft Azure服务开发的开源 Linux 发行版。
微软呼吁紧急关注一个让黑客完全控制Azure Kubernetes集群的漏洞。微软在安全公告中表示,该漏洞编号为CVE-2024-29990,允许未经身份验证的黑客窃取凭据并影响超出Azure Kubernetes服务机密容器 (AKSCC) 管理的安全范围的资源。
微软安全响应团队表示,Azure Kubernetes服务错误的CVSS严重性评分为9/10,可被利用来接管其可能绑定的网络堆栈之外的机密来宾和容器。
微软警告说:“未经身份验证的攻击者可以将相同的工作负载转移到他们控制的机器上,而攻击者
Azure Kubernetes服务错误是一个大型补丁包的头条新闻,其中包括针对Microsoft Defender for IOT中的三个远程代码执行错误的修复以及标记为已被利用的严重Windows安全启动绕过。
4月补丁日修复了数十个影响WIndows操作系统和软件组件、Microsoft Office生产力套件、Microsoft SQL Server、DNS Server、Visual Studio 和 Bitlocker的远程代码执行问题。
据跟踪软件补丁发布的公司ZDI称,这是微软至少自2017年以来最大的一次发布,且不包括对今年Pwn2Own黑客大赛中所利用漏洞的修复。
