微软6月补丁星期二发布了关键漏洞修复

重点摘要

本月的补丁星期二，微软集中修复了六个关键性漏洞，这些漏洞包括多个远程代码执行漏洞。其中，SharePoint安全漏洞被标记为“更可能被利用”，应引起安全团队的高度重视。此外，补丁还修复了67个较低等级的安全漏洞。

本月的补丁星期二，微软首次自2022年3月以来，并未发布任何新的零日漏洞修复。以下是详细信息：

其他两个关键漏洞：SharePoint权限提升漏洞和微软HyperV服务器的拒绝服务漏洞CVSS评分65。

补丁修复的内容：

67个CVEs常见漏洞和暴露被修复，这些漏洞的评级都低于关键性。22个之前发布的第三方修复被加入到微软的安全更新指南中。漏洞类型CVSS评分备注CVE202329357SharePoint98更可能被利用，优先修复CVE202329363Windows PGM RCE98允许攻击者触发恶意代码CVE202332014Windows PGM RCE98允许攻击者触发恶意代码CVE202332015Windows PGM RCE98允许攻击者触发恶意代码CVE202324897NET/Visual Studio78需受害者打开特制恶意文件CVE202332013HyperV Dos65可能导致宿主操作系统关闭

关键漏洞深度分析

SharePoint漏洞 (CVE202329357) 是唯一被标记为“更可能被利用”的漏洞，CVSS评分高达98。虽然尚未在现实环境中发现其利用，但该漏洞可让攻击者通过伪造的JSON网络令牌获取SharePoint主机的管理员权限。

Windows PGM中的三个RCE漏洞 (CVE202329363 CVE202332014 CVE202332015) 的CVSS评分亦为98。攻击者可以在Windows消息队列服务运行在PGM服务器环境下通过发送特制文件触发恶意代码。

专家观点

来自安全供应商Rapid7的首席软件工程师亚当巴尼特表示，6月是连续第三个月包含一个关键RCE漏洞。“微软尚未检测到任何利用或公开披露，并认为利用的可能性低于SharePoint漏洞，但这三组RCE的基线严重性评分为98，自然会引起一定的关注。”

他补充道：“与之前类似的漏洞一样，只有启用了Windows