近日,微软发布了安全更新,修复了Windows电脑和其他软件中至少117个安全漏洞,其中包括两个已遭受活跃攻击的漏洞。此外,Adobe修复了多款产品中的52个安全漏洞,而Apple则在其新macOS 15“Sequoia”更新中解决了一个导致许多网络安全工具失效的漏洞。
其中一个零日漏洞(CVE-2024-43573)源于微软Internet Explorer网页浏览器的专有引擎MSHTML的安全弱点。如果这听起来很熟悉,那是因为这是2024年至今发现的第四个被利用于野外的MSHTML漏洞。
Immersive Labs的网络安全工程师Nikolas Cemerikic表示,该漏洞允许攻击者诱骗用户查看恶意网页内容,而由于Windows处理某些网页元素的方式,这些内容可能看起来是合法的。
他说:“一旦用户被诱骗与这些内容交互(通常是通过网络钓鱼攻击),攻击者就可能获得对敏感信息的未经授权访问或操纵基于Web的服务。”
Cemerikic指出,尽管Internet Explorer已在许多平台上停用,但其底层的MSHTML技术仍然活跃且存在漏洞。
他说:“这为员工在日常工作中使用这些旧系统带来了风险,尤其是如果他们正在访问敏感数据或在线进行金融交易。”
本月可能更为严重的零日漏洞是CVE-2024-43572,这是Windows的一个组件——Microsoft Management Console(微软管理控制台)中的一个代码执行漏洞。系统管理员使用该控制台配置和监控系统。
Tenable的高级研究工程师Satnam Narang观察到,CVE-2024-43572的补丁是在Elastic Security Labs的研究人员披露了一种名为GrimResource的攻击技术几个月后发布的。该技术利用了旧的跨站脚本(XSS)漏洞,并结合了特制的Microsoft Saved Console(MSC)文件来获得代码执行权限。
Narang说:“尽管微软在9月修复了另一个不同的MMC漏洞(CVE-2024-38259),但该漏洞既没有在野外被利用,也没有被公开披露。自发现CVE-2024-43572以来,微软现在阻止在系统上打开不受信任的MSC文件。”
微软还修复了Office、Azure、.NET、Windows OpenSSH、Power BI、Windows Hyper-V、Windows Mobile Broadband和Visual Studio中的漏洞。与往常一样,SANS Internet Storm Center列出了今天发布的所有微软补丁,并按严重性和可利用性进行了索引。
上个月末,Apple推出了名为Sequoia的macOS 15操作系统更新,但该更新破坏了包括CrowdStrike、SentinelOne和微软在内的多家供应商的安全工具功能。10月7日,Apple向Sequoia用户推送了一个更新,解决了这些兼容性问题。
最后,Adobe发布了安全更新,修复了包括Adobe Substance 3D Painter、Commerce、Dimension、Animate、Lightroom、InCopy、InDesign、Substance 3D Stager和Adobe FrameMaker在内的多款软件中的总共52个漏洞。
请在应用任何更新之前备份重要数据。除了零日漏洞之外,通常等待几天再应用任何待处理的补丁也无妨,因为安全更新往往会引入稳定性或兼容性问题。AskWoody.com通常会提供有关任何有问题的补丁的精简信息。
一如既往,如果您在安装补丁后遇到任何故障,请在评论中留言;很可能其他人也遇到了同样的问题,甚至可能已经找到了解决方案。