Microsoft 八月安全更新概述

关键要点

微软修复了90个新的CVE漏洞，包含9个零日漏洞，其中6个在实际中被积极利用。五个高严重性漏洞可能导致系统权限提升，另一项为中等级别。Adobe同日发布了针对71个CVE的补丁，关注点集中在Commerce与Acrobat等产品的安全更新。

微软在2024年8月的补丁星期二修补了90个新的CVE漏洞，其中有9个为零日漏洞，6个已在真实环境中被利用。被利用的零日漏洞中，有5个是高严重性漏洞，另外一个为中等级别。微软还修补了11个关键漏洞，其中9个已发布CVSS评分。

黑洞加速器安卓正版

以下是来自Trend Micro的零日倡议对微软今天修补的五个高严重性漏洞的汇总：

漏洞ID描述严重性CVE202438178脚本引擎内存损坏漏洞：此漏洞需要目标设备使用Edge浏览器的IE模式。根据ZDI的说法，用户只需点击一次即可执行代码。此补丁适用于Windows 112 v24H2版本，虽未广泛发布，但由于Copilot设备随此版本一同推出，微软进行了更新。高CVE202438193Windows附加功能驱动程序的权限提升漏洞：该漏洞允许攻击者以SYSTEM身份运行代码。虽然微软未提供此漏洞被利用的广泛程度，ZDI指出，如果它尚未被用于勒索软件，很可能很快就会。高CVE202438106Windows内核权限提升漏洞：此漏洞同样导致SYSTEM权限的提升。ZDI表示，微软将该漏洞的利用复杂性列为“高”，因为攻击者需要赢得竞争条件，这是多个进程或线程同时尝试访问和修改共享数据时发生的Bug。高CVE202438107窗口电源依赖协调器权限提升漏洞：这个漏洞也是导致SYSTEM权限提升。ZDI指出“电源依赖”作为现代待机的一个组成部分，旨在让设备从休眠中唤醒。这表明，新增功能也可能增加潜在攻击面。高CVE202438189Microsoft Project远程代码执行漏洞：尽管ZDI称在Project中看到代码执行漏洞很奇怪，但这种漏洞确实存在，并正在被利用。有关如何阻止Office产品中运行宏的Microsoft指南。中

Adobe 发布 Commerce 和其他产品的补丁

在同一天的补丁星期二，Adobe也修补了自身产品中的71个CVE漏洞。ZDI表示，其中最大的一项更新是针对Adobe Commerce，修复了多个关键代码执行漏洞。ZDI特别关注对InDesign的补丁，因为该更新也修正了许多代码执行漏洞，但最让人担忧的是针对Acrobat和Reader的更新，因为恶意构造的PDF文件通常被勒索软件团伙所利用。

通过此次更新，微软和Adobe的持续努力展现了对网络安全的重视，用户应尽快应用这些补丁以保障自身系统的安全。