聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本次微软共修复5个0day漏洞,其中2个已遭活跃利用,而所有5个漏洞均已遭公开披露。微软将不存在官方修复方案的情况下就被公开披露或活跃利用的漏洞定义为0day漏洞。
CVE-2024-43573是 Windows MSHTML 平台中的欺骗漏洞。虽然微软并未分享关于该漏洞或其如何遭利用的细节信息,但微软确实指出该漏洞涉及 MSHTML 平台。该平台此前由 IE 浏览器和遗留的Edge浏览器使用,它们的组件仍然安装在 Windows 系统中。微软解释称,“虽然微软已经宣布在某些平台上弃用 IE 11,微软遗留 Edge 应用被弃用,但底层的 MSHTML、EdgeHTML 和脚本平台仍然受支持。MSHTML 平台用于微软 Edge 中的 IE 模式以及通过 WebBrowser 控制的其它应用。EdgeHTML 平台由 WebView 和一些UMP 应用使用。脚本平台由 MSHTML 和 EdgeHTML 使用但同时由其它遗留应用使用。”
虽然并未得到证实,它可能是对此前漏洞的绕过。打开文件时,此前的漏洞滥用MSHTML欺骗所显示的报警中的文件扩展。上个月微软也披露了一个类似的MSHTML欺骗漏洞,它利用文件名称中的 Braille 字符欺骗PDF文件。
微软并未分享是谁披露了该漏洞。
CVE-2024-43572是位于微软管理控制台的远程代码执行漏洞。该漏洞可导致恶意 MSC 文件在易受攻击设备上执行RCE。微软已通过阻止打开不受信任MSC文件的方式修复了该漏洞。目前尚不清楚该漏洞是否已遭活跃利用。微软提到该漏洞由“Andres 和 Shady”披露。
微软提到,这两个漏洞已遭公开披露。其它三个漏洞已遭公开披露但并未遭利用,如下。
CVE-2024-6197是位于开源 Curl 中的RCE漏洞。微软已修复 libcurl 中的一个远程代码执行漏洞,它可在 Curl 试图连接到恶意服务器时执行命令。
Curl 安全公告解释称,“该易受攻击的代码路径可被提供特殊构造TLS证书的恶意服务器触发。”微软已通过更新与 Windows 绑定的由 Curl 可执行文件使用的 libcurl 库,修复该漏洞。该漏洞由名为 “z2_” 的安全研究员发现,该研究员在 HackerOne 报告中分享了技术详情。
CVE-2024-20659是位于 Windows 中的 Hyper-V 安全特性绕过漏洞。该漏洞可导致攻击者攻陷该管理程序和内核。微软解释称,“该 Hypervisor 漏洞与UEFI主机机器中的虚拟机有关。在某些特定的硬件上,该漏洞可用于绕过该 UEFI,从而导致管理程序和安全内核遭攻陷。”
微软表示攻击者需要物理访问该设备且必须重启设备才能利用该漏洞。该漏洞由 Quarkslab 公司的研究员 Francisco Falcón 和 Iván Arce发现但并不清楚该漏洞被公开披露的地方。
CVE-2024-43583是 Winlogon 提权漏洞,可导致攻击者获得 Windows 中的系统权限。
微软提到,防御该漏洞必须采取其它措施,“在设备上弃用微软第一方 IME。由此,可在登录过程中保护设备免受与第三方 IME 相关联的潜在漏洞的威胁。”
CVE-2024-43468是位于微软配置管理器中的RCE漏洞。该漏洞利用无需用户交互,CVSS评分9.8。远程未认证攻击者可发送特殊构造的请求,在目标服务器上实现任意代码执行后果。除了补丁外,用户需要安装控制台内更新进行防御。
CVE-2024-43582是位于远程桌面协议 (RDP) 服务器中的RCE漏洞。该漏洞可导致远程未认证攻击者通过发送特殊构造的 RPC 请求的方式在提升级别获得任意代码执行权限。微软提到攻击者需要获得条件竞争,不过我们看到很多成功的 Pwn2Own 条目获得了条件竞争。虽然该漏洞是可蠕虫的,但它可能不会实际导致蠕虫。RPC应当在外围进行拦截,使其仅限于内部系统,但它可被用于在企业内进行横向移动。
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2024-patch-tuesday-fixes-5-zero-days-118-flaws/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~