今天是微軟 2024 年 6 月補丁日，微軟修復(fù)了 51 個安全漏洞，其中包括 18 個遠程代碼執(zhí)行漏洞和一個公開披露的0day漏洞。

各個漏洞類別的數(shù)量如下：

• 25 個特權(quán)提升漏洞
• 18 個遠程代碼執(zhí)行漏洞
• 3 個信息泄露漏洞
• 5 個拒絕服務(wù)漏洞

總共 51 個漏洞并不包括 6 月 3 日修復(fù)的 7 個 Microsoft Edge 漏洞。

本月補丁日只修復(fù)了一個嚴重漏洞，即 Microsoft 消息隊列 (MSMQ) 中的遠程代碼執(zhí)行漏洞。

該漏洞編號為CVE-2024-30080，CVSS 嚴重性評分為 9.8/10，攻擊者可以通過向 MSMQ 服務(wù)器發(fā)送特制的惡意 MSMQ 數(shù)據(jù)包來利用該漏洞。

微軟安全響應(yīng)團隊在一份公告（
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080）中警告稱：“這可能導(dǎo)致服務(wù)器端遠程代碼執(zhí)行。”

微軟表示，系統(tǒng)需要啟用 Windows 消息隊列服務(wù)才能利用此漏洞，并敦促客戶檢查機器上是否有名為消息隊列的服務(wù)正在運行，并且 TCP 端口 1801 正在監(jiān)聽。

安全專家還呼吁關(guān)注CVE-2024-30078，這是一個 Windows WiFi 驅(qū)動程序遠程代碼執(zhí)行漏洞，CVSS 嚴重性評分為 8.8/10。

微軟警告稱：“要利用此漏洞，攻擊者必須靠近目標系統(tǒng)才能發(fā)送和接收無線電傳輸。未經(jīng)身份驗證的攻擊者可以向使用 Wi-Fi 網(wǎng)絡(luò)適配器的相鄰系統(tǒng)發(fā)送惡意網(wǎng)絡(luò)數(shù)據(jù)包，從而實現(xiàn)遠程代碼執(zhí)行。”

一個公開披露的0day漏洞

本月的補丁日修復(fù)了一個公開披露的0day漏洞，是之前披露的DNS 協(xié)議中的“Keytrap”攻擊，微軟已在今天的更新中對其進行了修復(fù)。

CVE-2023-50868 - MITRE：CVE-2023-50868 NSEC3 最接近的封閉證明會耗盡 CPU

“ CVE-2023-50868 涉及 DNSSEC 驗證中的一個漏洞，攻擊者可以利用解析器上的過多資源來利用旨在實現(xiàn) DNS 完整性的標準 DNSSEC 協(xié)議，從而導(dǎo)致合法用戶拒絕服務(wù)。MITRE 代表他們創(chuàng)建了這個 CVE。”微軟的公告中寫道。

該漏洞于二月份被披露，并已在許多 DNS 實現(xiàn)中得到修補，包括 BIND、PowerDNS、Unbound、Knot Resolver 和 Dnsmasq。

本月修復(fù)的其他漏洞包括多個 Microsoft Office 遠程代碼執(zhí)行漏洞，其中包括可從預(yù)覽窗格利用的 Microsoft Outlook RCE。

微軟還修復(fù)了七個 Windows 內(nèi)核權(quán)限提升漏洞，這些漏洞可能允許本地攻擊者獲得系統(tǒng)權(quán)限。

其他公司的最新更新

• 2024 年 6 月發(fā)布更新或公告的其他供應(yīng)商包括：
• 蘋果在visionOS 1.2版本中修復(fù)了 21 個安全漏洞。
• ARM 修復(fù)了Mali GPU 內(nèi)核驅(qū)動程序中一個被積極利用的BUG。
• 思科發(fā)布了其 Cisco Finesse 和 Webex 的安全更新。
• Cox 修復(fù)了影響數(shù)百萬調(diào)制解調(diào)器的 API 身份驗證繞過漏洞。
• F5 發(fā)布了針對兩個高嚴重性 BIG-IP Next Central Manager API 漏洞的安全更新。
• PHP 修復(fù)了一個嚴重的 RCE 漏洞，該漏洞目前在勒索軟件攻擊中被積極利用。
• VMware 修復(fù)了 Pwn2Own 2024 上利用的三個零日漏洞。
• Zyxel 針對停產(chǎn) NAS 設(shè)備發(fā)布緊急 RCE 補丁