近日，微软发布了安全更新，修复了Windows电脑和其他软件中至少117个安全漏洞，其中包括两个已遭受活跃攻击的漏洞。此外，Adobe修复了多款产品中的52个安全漏洞，而Apple则在其新macOS 15“Sequoia”更新中解决了一个导致许多网络安全工具失效的漏洞。

　　其中一个零日漏洞（CVE-2024-43573）源于微软Internet Explorer网页浏览器的专有引擎MSHTML的安全弱点。如果这听起来很熟悉，那是因为这是2024年至今发现的第四个被利用于野外的MSHTML漏洞。

　　Immersive Labs的网络安全工程师Nikolas Cemerikic表示，该漏洞允许攻击者诱骗用户查看恶意网页内容，而由于Windows处理某些网页元素的方式，这些内容可能看起来是合法的。

　　他说：“一旦用户被诱骗与这些内容交互（通常是通过网络钓鱼攻击），攻击者就可能获得对敏感信息的未经授权访问或操纵基于Web的服务。”

　　Cemerikic指出，尽管Internet Explorer已在许多平台上停用，但其底层的MSHTML技术仍然活跃且存在漏洞。

　　他说：“这为员工在日常工作中使用这些旧系统带来了风险，尤其是如果他们正在访问敏感数据或在线进行金融交易。”

　　本月可能更为严重的零日漏洞是CVE-2024-43572，这是Windows的一个组件——Microsoft Management Console（微软管理控制台）中的一个代码执行漏洞。系统管理员使用该控制台配置和监控系统。

　　Tenable的高级研究工程师Satnam Narang观察到，CVE-2024-43572的补丁是在Elastic Security Labs的研究人员披露了一种名为GrimResource的攻击技术几个月后发布的。该技术利用了旧的跨站脚本（XSS）漏洞，并结合了特制的Microsoft Saved Console（MSC）文件来获得代码执行权限。

　　Narang说：“尽管微软在9月修复了另一个不同的MMC漏洞（CVE-2024-38259），但该漏洞既没有在野外被利用，也没有被公开披露。自发现CVE-2024-43572以来，微软现在阻止在系统上打开不受信任的MSC文件。”

　　微软还修复了Office、Azure、.NET、Windows OpenSSH、Power BI、Windows Hyper-V、Windows Mobile Broadband和Visual Studio中的漏洞。与往常一样，SANS Internet Storm Center列出了今天发布的所有微软补丁，并按严重性和可利用性进行了索引。

　　上个月末，Apple推出了名为Sequoia的macOS 15操作系统更新，但该更新破坏了包括CrowdStrike、SentinelOne和微软在内的多家供应商的安全工具功能。10月7日，Apple向Sequoia用户推送了一个更新，解决了这些兼容性问题。

　　最后，Adobe发布了安全更新，修复了包括Adobe Substance 3D Painter、Commerce、Dimension、Animate、Lightroom、InCopy、InDesign、Substance 3D Stager和Adobe FrameMaker在内的多款软件中的总共52个漏洞。

　　请在应用任何更新之前备份重要数据。除了零日漏洞之外，通常等待几天再应用任何待处理的补丁也无妨，因为安全更新往往会引入稳定性或兼容性问题。AskWoody.com通常会提供有关任何有问题的补丁的精简信息。

　　一如既往，如果您在安装补丁后遇到任何故障，请在评论中留言；很可能其他人也遇到了同样的问题，甚至可能已经找到了解决方案。