微軟於週二發布修補程式，修復了總計90個安全漏洞，其中包括10個零日漏洞，6個已在野外攻擊廣泛利用。

這 90個漏洞中，有 9個被評為被評為「關鍵」級，80 個為「重要」級，1 個為「中度」級別。此外，微軟自上月以來修復了 Edge瀏覽器中的 36個漏洞。

本次 Patch Tuesday 更新主要針對 6個被廣泛利用的零日漏洞：
CVE-2024-38189（CVSS評分：8.8）- Microsoft Project遠端程式碼執行漏洞（Microsoft Project Remote Code Execution Vulnerability）
CVE-2024-38178（CVSS評分：7.5）- Windows 指令碼引擎記憶體損毀漏洞 （Windows Scripting Engine Memory Corruption Vulnerability）
CVE-2024-38193（CVSS評分：7.8）- Windows 附屬功能驅動程式權限提升漏洞 （Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability）
CVE-2024-38106（CVSS評分：7.0）- Windows Kernel 權限提升漏洞 （Kernel Elevation of Privilege Vulnerability）
CVE-2024-38107（CVSS評分：7.8）- Windows電源相依性協調器權限提升漏洞（Windows Power Dependency Coordinator Elevation of Privilege Vulnerability）
CVE-2024-38213（CVSS評分：6.5）- Windows Mark of the Web安全性功能繞過漏洞 （Windows Mark of the Web Security Feature Bypass Vulnerability）
​其中，CVE-2024-38213 漏洞會讓使用者在點開攻擊者發送的惡意檔案後，允許其繞過 SmartScreen 保護。

此次更新也解決了列印多工緩衝處理器元件（Print Spooler component）中的權限提升漏洞（CVE-2024-38198，CVSS評分：7.8），該漏洞原允許攻擊者獲得SYSTEM權限。

另一個值得注意的漏洞是 CVE-2024-38173（CVSS評分：6.7），這是一個影響Microsoft Outlook的遠端程式碼執行漏洞，需要攻擊者或受害者從本機執行程式碼才會被利用。

更有資安公司更指出，漏洞 CVE-2024-38213是一個很好的例子，讓他們利用這些造成野外威脅的零日漏洞進行額外的安全研究。

本文轉載自thehackernews。

新聞來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11189&mod=1
發布日期：2024/8/16