北京时间 1 月 12 日，微软发布公告表示，在即将到来的 2024 年第一个补丁周二总共封堵了 49 个安全隐患，其中包括两颗可能造成重大威胁的“重磅炸弹”——严重级别 Windows Kerberos 绕过漏洞 CVE-2024-20674 and Windows Hyper-V 远程执行代码漏洞 CVE-2024-20700。

值得关注的是，编号为 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 评分为 9，可谓当之无愧的“年度最危险漏洞”。据悉，此漏洞可使黑客发动中间人攻击，通过假冒 Kerberos 认证服务器欺骗用户， 电子元器件采购网 从而获得设备文件的读写权限。

至于 Windows Hyper-V 的漏洞 CVE-2024-20700，尽管其 CVSS 分数相对较低（为 7.5）但仍不容忽视。由于缺乏进一步的细节披露，Rapid 7 安全公司的软件工程师推测黑客可能需进行复杂操作方能利用此漏洞。同时，此次披露中还有另一个严重级别的安全漏洞——仅被评为“重要性”但CVSS得分却高达 8.7 的 CVE-2024-0056 。此漏洞为 Microsoft.Data.SqlClient 与 System.Data.SqlClient 相关的“程序安全功能绕过”漏洞，它使得黑客能够绕过客户端和服务器端的加密机制定义，破解和篡改TLS流量。

• 2024
• 微软
• 年首
• 补丁
• 周二