美東時間現在仍是微軟的周二補丁日推送期,Windows 10收獲了不少修復更新。
比如Windows 10 Build 14393.1066和15063.138累積更新,分別針對周年用戶和創意者更新用戶。
按照Softpedia的說法,微軟總計修復了多達45處漏洞,其中包括此前我們報道的Office、word嚴重安全漏洞(零日),編號CVE-2017-0199。
此外還有CVE-2017-0201 and CVE-2017-0202、CVE-2017-0093, CVE-2017-0200, CVE-2017-0205等,涉及IE、Edge和在線升級環節等。
微軟建議所有用戶尤其是企業IT用戶立即檢查更新升級,修復相關漏洞。
IT之家 3 月 9 日消息,安全機構 Akamai 日前公布了微軟 Win 10/11 主題系統中一項名為 CVE-2024-21320 的漏洞,該漏洞 CVSS 評分為 6.5,允許黑客使用特制的 .theme 主題文件遠程執行代碼。
據介紹,微軟 Windows 資源管理器會默認預加載 .theme 主題的縮略文件,因此給予了黑客可乘之機,當黑客只需要將相關主題縮略文件參數指向惡意地址,Windows 資源管理器便會在加載縮略文件時連接黑客指定的遠程 UNC 路徑,進而遠程執行代碼。
▲ 圖源 Akamai 安全報告(下同)IT之家注意到,微軟已經在 2024 年 1 月份的 Windows 10/11 累積更新中緩解了相關漏洞,在相關更新中,微軟引入路徑驗證來對 UNC 進行驗證,同時根據系統策略選擇是否允許使用 UNC 路徑,同時引入了一項名為“DisableThumbnailOnNetworkFolder”的注冊表項,允許禁用網絡縮略圖來降低風險。