2个被评为严重！微软发布补丁修补48个安全漏洞，全面保障系统安全

在这 48 个漏洞中，2 个被评为 "严重"，46 个被评为 "重要"，虽然没有证据表明这些问题在发布时已为公众所知或正在受到攻击，

自 2023 年 12 月发布补丁更新以来，基于 Chromium 的 Edge 浏览器已解决了 9 个安全漏洞，此外还修复了其他漏洞。其中还包括对一个零日漏洞（CVE-2023-7024，CVSS 得分：8.8）的修复，谷歌称该漏洞已在被积极利用。

本月修补的漏洞中最关键的二个漏洞：

1、CVE-2024-20674（CVSS 得分：9.0）--Windows Kerberos 安全功能绕过漏洞

微软在公告中称：由于该漏洞允许冒名顶替，因此可以绕过身份验证功能。经过验证的攻击者可以通过建立中间机器（MitM）攻击或其他本地网络欺骗技术，然后向客户端受害机器发送恶意 Kerberos 消息，将自己欺骗为 Kerberos 身份验证服务器，从而利用该漏洞。不过，该公司指出，成功利用该漏洞需要攻击者首先获得受限网络的访问权限。

2、CVE-2024-20700（CVSS 得分：7.5）- Windows Hyper-V 远程代码执行漏洞、

CVE-2024-20700 既不需要身份验证，也不需要用户交互来实现远程代码执行。尽管赢得竞赛条件是发动攻击的先决条件。目前还不清楚攻击者必须位于何处--是管理程序所在的局域网，还是由管理程序创建和管理的虚拟网络，也不清楚远程代码执行会在什么情况下发生。

其他的漏洞包括影响通用日志文件系统（CLFS）驱动程序的权限升级漏洞 CVE-2024-20653（CVSS 得分：7.8），以及影响 System.Data.SqlClient 和 Microsoft.Data.SqlClient 的安全绕过漏洞 CVE-2024-0056（CVSS 得分：8.7）。还有存在一个可能导致远程代码执行的安全漏洞（CVE-2024-20677，CVSS 得分：7.8），它默认禁用了在 Windows 的 Word、Excel、PowerPoint 和 Outlook 中插入 FBX 文件的功能。

值得注意的是，在 发现 Microsoft 365 应用程序中存在 117 个安全漏洞之后，微软也采取了类似措施，禁用了 Office 中的 SketchUp (SKP) 文件格式。