今天是微軟 2024 年 6 月補丁日，微軟修復了 51 個安全漏洞，其中包括 18 個遠程代碼執行漏洞和一個公開披露的0day漏洞。

各個漏洞類別的數量如下：

總共 51 個漏洞并不包括 6 月 3 日修復的 7 個 Microsoft Edge 漏洞。

本月補丁日只修復了一個嚴重漏洞，即 Microsoft 消息隊列 (MSMQ) 中的遠程代碼執行漏洞。

該漏洞編號為CVE-2024-30080，CVSS 嚴重性評分為 9.8/10，攻擊者可以通過向 MSMQ 服務器發送特制的惡意 MSMQ 數據包來利用該漏洞。

微軟安全響應團隊在一份公告（
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080）中警告稱：“這可能導致服務器端遠程代碼執行。”

微軟表示，系統需要啟用 Windows 消息隊列服務才能利用此漏洞，并敦促客戶檢查機器上是否有名為消息隊列的服務正在運行，并且 TCP 端口 1801 正在監聽。

安全專家還呼吁關注CVE-2024-30078，這是一個 Windows WiFi 驅動程序遠程代碼執行漏洞，CVSS 嚴重性評分為 8.8/10。

微軟警告稱：“要利用此漏洞，攻擊者必須靠近目標系統才能發送和接收無線電傳輸。未經身份驗證的攻擊者可以向使用 Wi-Fi 網絡適配器的相鄰系統發送惡意網絡數據包，從而實現遠程代碼執行。”

一個公開披露的0day漏洞

本月的補丁日修復了一個公開披露的0day漏洞，是之前披露的DNS 協議中的“Keytrap”攻擊，微軟已在今天的更新中對其進行了修復。

CVE-2023-50868 - MITRE：CVE-2023-50868 NSEC3 最接近的封閉證明會耗盡 CPU

“ CVE-2023-50868 涉及 DNSSEC 驗證中的一個漏洞，攻擊者可以利用解析器上的過多資源來利用旨在實現 DNS 完整性的標準 DNSSEC 協議，從而導致合法用戶拒絕服務。MITRE 代表他們創建了這個 CVE。”微軟的公告中寫道。

該漏洞于二月份被披露，并已在許多 DNS 實現中得到修補，包括 BIND、PowerDNS、Unbound、Knot Resolver 和 Dnsmasq。

本月修復的其他漏洞包括多個 Microsoft Office 遠程代碼執行漏洞，其中包括可從預覽窗格利用的 Microsoft Outlook RCE。

微軟還修復了七個 Windows 內核權限提升漏洞，這些漏洞可能允許本地攻擊者獲得系統權限。

其他公司的最新更新