首页 > 其他分享 >微软紧急发布90个漏洞补丁,其中6个漏洞是被广泛利用的0day漏洞

微软紧急发布90个漏洞补丁,其中6个漏洞是被广泛利用的0day漏洞

时间:2024-08-14 14:59:04浏览次数:14  
标签:分数 漏洞补丁 Windows 0day 2024 漏洞 CVE CVSS

在这里插入图片描述

微软周二发布了修复程序,以解决总共90个安全漏洞,包括10个零日漏洞,其中6个已在野外受到积极利用。
在90个漏洞中,7个被评为严重,79个被评为重要,1个被评为中等严重程度。这也是科技巨头自上个月以来在其边缘浏览器中解决的36个漏洞的补充。

6个已被积极利用的零日漏洞:
  • CVE-2024-38189(CVSS分数:8.8)-Microsoft Project远程代码执行漏洞
  • CVE-2024-38178(CVSS分数:7.5)-Windows脚本引擎内存损坏漏洞
  • CVE-2024-38193(CVSS分数:7.8)-WinSock特权提升漏洞的Windows辅助函数驱动程序
  • CVE-2024-38106(CVSS分数:7.0)-Windows内核特权提升漏洞
  • CVE-2024-38107(CVSS分数:7.8)-Windows电源依赖协调器权限提升漏洞
  • CVE-2024-38213(CVSS分数:6.5)-Windows标记的Web安全功能绕过漏洞

其中,CVE-2024-38213允许攻击者绕过智能屏幕保护,要求攻击者向用户发送恶意文件并说服他们打开它。趋势科技的彼得·吉纳斯因发现和报告该漏洞而获奖,他认为这可能是对CVE-2024-21412或CVE-2023-36025的绕过,这些漏洞以前被暗门恶意软件运营商利用。

美国网络安全和基础设施安全局(CISA)在其已知已利用漏洞库(KEV)中添加漏洞,并要求联邦机构在2024年9月3日之前完成修复。

https://thehackernews.com/2024/08/microsoft-issues-patches-for-90-flaws.html

标签:分数,漏洞补丁,Windows,0day,2024,漏洞,CVE,CVSS
From: https://blog.csdn.net/weixin_55163056/article/details/141190923

相关文章

  • 文件上传漏洞的基本上传思路
    一、仅做前端检测,未做后端校验:(ctfshow-web152)不允许上传.php等格式的文件1、禁用javascript2、先上传符合格式要求的.png图片-->Burpsuite修改后缀为.php绕过前端检测二、.user.ini文件利用:(ctfshow-web153).user.ini的作用类似于Apache服务器中的.htaccess配置文......
  • java几种常见漏洞种类及处理方案
    一、SQLInjection(SQL注入漏洞)1.使用参数化查询(PreparedStatements)参数化查询是防止SQL注入最有效的方法之一。它确保用户输入的数据作为参数传递,而不是作为SQL命令的一部分。在Java中,可以使用PreparedStatement来实现这一点。示例代码:Stringsql="SELECT*FROMusers......
  • 【漏洞复现】普华-PowerPMS APPGetUser SQL注入漏洞
             声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。一、漏洞描述PowerPMS是一款综合性的企业管理系统,它集成了财务管理、销售管理、采购管理、仓储管理以及项目管理等多个功......
  • 【漏洞复现】LiveBos UploadFile 任意文件上传漏洞
              声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。一、漏洞描述LiveBOS,由顶点软件股份有限公司开发的对象型业务架构中间件及其集成开发工具,是一种创新的软件开发模式,以业......
  • 高危漏洞CVE-2024-38077的修复指南
    “根据2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞(CNVD-2024-34918,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安......
  • 格式化字符串漏洞
    一、格式化字符串漏洞原理格式化字符串是一种很常见的漏洞,其产生根源是printf函数设计的缺陷,即printf()函数并不能确定数据参数arg1,arg2…究竟在什么地方结束,也就是说,它不知道参数的个数。它只会根据format中的打印格式的数目依次打印堆栈中参数format后面地址的内容格式字......
  • 春秋云境 | 逻辑漏洞 | CVE-2022-23134
    目录靶标介绍开启靶场获取flag靶标介绍ZabbixSiaZabbix是拉脱维亚ZabbixSIA(ZabbixSia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix存在安全漏洞,该漏洞源于在初始设置过程之后,setup.php文件的某些步骤不仅可以由超级......
  • 春秋云境 | 逻辑漏洞 | CVE-2020-13933
    靶标介绍<p>ApahceShiro由于处理身份验证请求时出错存在权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。</p>开启靶场发现不管拿点哪里都是登录页面,发现登录框那里写着flag在/admin里访问之后并没有反应,在后......
  • WookTeam searchinfo SQL注入漏洞复现
    0x01产品简介WookTeam是一款轻量级的在线团队协作工具,提供各类文档工具、在线思维导图、在线流程图、项目管理、任务分发,知识库管理等工具。0x02漏洞概述WookTeam/api/users/searchinfo 接口存在SQL注入漏洞,未经身份验证的恶意攻击者利用SQL注入漏洞获取数据库中的信......
  • 智慧校园(安校易)管理系统 FileUpAd.aspx 文件上传致RCE漏洞复现
    0x01产品简介“安校易”是银达云创公司基于多年教育市场信息化建设经验沉淀,经过充分的客户需求调研,并依据国家“十三五”教育信息化建设规范而推出的综合互联网+教育信息化解决方案。“安校易”以物联网技术为基础,以学生在校“学食住行”管理为中心,将消费管理、门禁管理、各......