北京時(shí)間 1 月 12 日，微軟發(fā)布公告表示，在即將到來的 2024 年第一個(gè)補(bǔ)丁周二總共封堵了 49 個(gè)安全隱患，其中包括兩顆可能造成重大威脅的“重磅炸彈”——嚴(yán)重級(jí)別 Windows Kerberos 繞過漏洞 CVE-2024-20674 and Windows Hyper-V 遠(yuǎn)程執(zhí)行代碼漏洞 CVE-2024-20700。

值得關(guān)注的是，編號(hào)為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評(píng)分為 9，可謂當(dāng)之無愧的“年度最危險(xiǎn)漏洞”。據(jù)悉，此漏洞可使黑客發(fā)動(dòng)中間人攻擊，通過假冒 Kerberos 認(rèn)證服務(wù)器欺騙用戶，從而獲得設(shè)備文件的讀寫權(quán)限。

至于 Windows Hyper-V 的漏洞 CVE-2024-20700，盡管其 CVSS 分?jǐn)?shù)相對(duì)較低（為 7.5）但仍不容忽視。由于缺乏進(jìn)一步的細(xì)節(jié)披露，Rapid 7 安全公司的軟件工程師推測(cè)黑客可能需進(jìn)行復(fù)雜操作方能利用此漏洞。同時(shí)，此次披露中還有另一個(gè)嚴(yán)重級(jí)別的安全漏洞——僅被評(píng)為“重要性”但CVSS得分卻高達(dá) 8.7 的 CVE-2024-0056 。此漏洞為 Microsoft.Data.SqlClient 與 System.Data.SqlClient 相關(guān)的“程序安全功能繞過”漏洞，它使得黑客能夠繞過客戶端和服務(wù)器端的加密機(jī)制定義，破解和篡改TLS流量。