今天是
今日新发布通知公告0条 | 上传规范

2024年1月网络安全风险提示

来源:   华体会体育(中国):2024-01-15

   微软公司近日发布了1月安全更新公告,共发布了49个漏洞的补丁程序,修复了.NET、Microsoft Office、Windows Server 等产品中的漏洞。值得注意的是,微软在2023年5月9日停止了Windows 10 20H2 的安全更新和技术支持,建议尽快升级系统。我中心提醒全校师生用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

   漏洞概况:

   以下10个重要漏洞值得关注(包括2个紧急漏洞、8个重要漏洞),如下表所示:

编号

漏洞名称

风险等级

公开状态

利用可能

CVE-2024-20674

Windows Kerberos 安全特性 绕过漏洞

紧急

未公开

较大

CVE-2024-20700

Windows Hyper-V 代码执行 漏洞

紧急

未公开

一般

CVE-2024-20683

Win32k  权限提升漏洞

重要

未公开

较大

CVE-2024-20698

Windows Kernel 权限提升漏 洞

重要

未公开

较大

CVE-2024-21307

Remote Desktop Client 代码 执行漏洞

重要

未公开

较大

CVE-2024-20652

Windows HTML  Platforms安全特性绕过漏洞

重要

未公开

较大

CVE-2024-20653

Microsoft Common Log File System  权限提升漏洞

重要

未公开

较大

CVE-2024-20686

Win32k  权限提升漏洞

重要

未公开

较大

CVE-2024-21310

Windows Cloud Files Mini F ilter Driver  权限提升漏洞

重要

未公开

较大

CVE-2024-21318

Microsoft SharePoint  Server代码执行漏洞

重要

未公开

较大

   以下 9 个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:

   ☆CVE-2024-20674 Windows Kerberos 安全特性绕过漏洞

   ☆CVE-2024-20683 Win32k  权限提升漏洞

   ☆CVE-2024-20698 Windows Kernel 权限提升漏洞

   ☆CVE-2024-21307 Remote Desktop Client 代码执行漏洞

   ☆CVE-2024-20652 Windows HTML Platforms 安全特性绕过漏洞

   ☆CVE-2024-20653 Microsoft Common Log File System 权限提升漏洞

   ☆CVE-2024-20686 Win32k  权限提升漏洞

   ☆CVE-2024-21310 Windows Cloud Files Mini Filter Driver 权限提升漏洞

   ☆CVE-2024-21318 Microsoft SharePoint Server 代码执行漏洞

   鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。

   处置建议:

   Windows 自动更新

   Windows 系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

   1、点击“开始菜单”或按 Windows 快捷键,点击进入“设置”

   2、选择“更新和安全”,进入“Windows 更新”(Windows Server 2012 以及 Windows Server 2012 R2 可通过控制面板进入“Windows 更新”,步骤为“控制面板”-> “系统和安 全”->“Windows 更新”)

   3、选择“检查更新”,等待系统将自动检查并下载可用更新

   4、重启计算机,安装更新

   系统重新启动后,可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功 安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接, 点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用 于目标系统的补丁进行下载并安装。

   手动安装补丁

   对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的 1 月补丁并安装:

   https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan



网络信息技术中心

2024年1月15日