1 月下旬,谷歌向稳定版发布了 Chrome 121,修复了 17 个安全问题,其中三个被评为具有较高影响。 这些包括 CVE-2024-0807,WebAudio 中的释放后使用缺陷,以及 CVE-2024-0812,可访问性方面存在不适当的实施漏洞。 最后一个高影响漏洞是 CVE-2024-0808,这是 WebUI 中的整数下溢。
显然,这些更新很重要,因此请尽快检查并应用它们。
微软
微软的 1 月补丁星期二消除了其流行软件中的近 50 个错误,其中包括 12 个远程代码执行 (RCE) 缺陷。
本月的更新中没有已知的安全漏洞被用于攻击,但值得注意的缺陷包括 CVE-2024-20677,Microsoft Office 中的一个错误,可能允许攻击者使用嵌入的 FBX 3D 模型文件创建恶意文档来执行代码。
为了缓解此漏洞,Windows 和 Mac 版的 Word、Excel、PowerPoint 和 Outlook 中插入 FBX 文件的功能已被禁用。 微软表示,启用此功能的 Office 版本将无法再使用该功能。
同时, CVE-2024-20674 是一个 Windows Kerberos 安全功能绕过漏洞,评级为严重,CVSS 评分为 8.8。 微软表示,在该漏洞的一种情况下,攻击者可以说服受害者连接到攻击者控制的恶意应用程序。 该软件巨头补充说:“连接后,恶意服务器可能会破坏协议。”
火狐浏览器
紧随市场主导竞争对手 Chrome 的脚步,Mozilla 的 Firefox 在最新更新中修复了 15 个安全漏洞。 其中五个错误被评为具有高严重性,包括 CVE-2024-0741,Angle 中的越界写入问题可能允许攻击者破坏内存,从而导致可利用的崩溃。
TLS 握手代码中未经检查的返回值被跟踪为 CVE-2024-0743 还可能导致可利用的崩溃。
CVE-2024-0755 涵盖 Firefox 122、Firefox ESR 115.7 和 Thunderbird 115.7 中修复的内存安全错误。 Mozilla 表示:“其中一些错误显示了内存损坏的证据,我们推测,只要付出足够的努力,其中一些错误可能会被利用来运行任意代码。” 说。
思科
企业软件巨头思科 打补丁的 多个思科统一通信和联络中心解决方案产品中存在一个漏洞,可能允许未经身份验证的远程攻击者在受影响的设备上执行任意代码。
追踪为 CVE-2024-20253 思科表示,CVSS 得分高达 9.9,攻击者可以通过向受影响设备的侦听端口发送精心设计的消息来利用该漏洞。
思科表示:“成功的利用可能允许攻击者以网络服务用户的权限在底层操作系统上执行任意命令。” 它警告说:“通过访问底层操作系统,攻击者还可以在受影响的设备上建立根访问权限。”
树液
SAP 在 1 月份发布了 10 个新的安全修复程序 安全补丁日,其中包括 CVSS 分数为 9.1 的多个问题。 CVE-2023-49583 是通过 SAP Business Application Studio、SAP Web IDE Full-Stack 和 SAP Web IDE for SAP HANA 开发的应用程序中的权限升级问题。
同时, CVE-2023-50422 CVE-2023-49583 是 SAP Edge Integration Cell 中的权限升级问题。
另一个值得注意的缺陷是 CVE-2024-21737,这是 SAP Application Interface Framework 中的一个代码注入漏洞,其 CVSS 评分为 8.4。 安全公司 Onapsis 表示:“该应用程序的一个易受攻击的功能模块允许攻击者遍历各个层并直接执行操作系统命令。” 说。 “成功的利用可能会对应用程序的机密性、完整性和可用性造成相当大的影响。”
1706703367
2024-01-31 12:00:00
#苹果和谷歌刚刚修复了今年的第一个零日漏洞
