微软发布针对 51 个漏洞的补丁，包括严重的 MSMQ 漏洞

作为 2024 年 6 月补丁星期二更新的一部分，微软发布了安全更新以解决51 个漏洞。

在这 51 个漏洞中，一个被评为“严重”，50 个被评为“重要”。此外，过去一个月内，基于 Chromium 的 Edge 浏览器还解决了17 个漏洞。

这些安全漏洞均尚未被主动利用，其中一个漏洞在发布时就已被列为已知漏洞。

这涉及第三方公告CVE-2023-50868（CVSS 评分：7.5），这是一个影响 DNSSEC 验证过程的拒绝服务问题，可能导致 DNSSEC 验证解析器的 CPU 耗尽。

早在 2 月份，达姆施塔特国家应用网络安全研究中心 (ATHENE) 的研究人员就报告了这一漏洞，同时报告的还有 KeyTrap ( CVE-2023-50387，CVSS 评分：7.5)。

Fortra 安全研发部副总监 Tyler Reguly 在一份声明中表示：“NSEC3 是 NSEC（Next Secure）的改进版本，可提供经过验证的否认存在性功能。通过证明某条记录不存在（有周围记录的证据），您可以帮助防止针对不存在域的 DNS 缓存中毒。”

“由于这是一个协议级漏洞，除微软之外的其他产品也受到影响，像 bind、powerdns、dnsmasq 等知名 DNS 服务器也发布了更新来解决此问题。”

本月更新中修复的最严重的漏洞是 Microsoft 消息队列 (MSMQ) 服务中的一个严重远程代码执行 (RCE) 漏洞 ( CVE-2024-30080，CVSS 评分：9.8)。

微软表示：“要利用此漏洞，攻击者需要向 MSMQ 服务器发送特制的恶意 MSMQ 数据包。这可能导致服务器端远程执行代码。”

雷德蒙德还解决了影响 Microsoft Outlook（CVE-2024-30103）、Windows Wi-Fi 驱动程序（CVE-2024-30078 ）的其他几个 RCE 漏洞，以及 Windows Win32 内核子系统（ CVE-2024-30086）、Windows 云文件迷你过滤驱动程序（CVE-2024-30085）和 Win32k（CVE-2024-30082）等中的大量权限提升漏洞。

发现 CVE-2024-30103 的网络安全公司 Morphisec 表示，该漏洞可用于触发代码执行，而无需用户点击或与电子邮件内容交互。

安全研究员 Michael Gorelik表示：“由于不需要用户交互，再加上漏洞利用的直接性，增加了攻击者利用此漏洞进行初始访问的可能性。”

“一旦攻击者成功利用此漏洞，他们就可以以与用户相同的权限执行任意代码，从而可能导致整个系统受到攻击。”

其他供应商的软件补丁#
除微软外，过去几周其他供应商也发布了安全更新，以修复多个漏洞：