政府电脑保安事故协调中心 - 高危保安警报 (A24-08-07): Microsoft 产品多个漏洞 (2024年8月)

描述:

Microsoft 发布了安全性更新，以应对影响数个 Microsoft 产品或元件的多个漏洞。有关安全性更新的列表，请参考以下网址：
https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

有报告指 Microsoft Windows 及 Server、Microsoft Office、365 Apps 及 Microsoft Project 的多个漏洞 (CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193 及 CVE-2024-38213) 正受到攻击。另外，Microsoft Windows 及 Server、Microsoft Office 的多个漏洞 (CVE-2024-21302、CVE-2024-38199 及 CVE-2024-38200) 的技术详情已被公开。系统管理员及用户应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

有多个报告指影响 Microsoft Windows 及 Server 的远端执行程式码漏洞 (CVE-2024-38063) 正处于被攻击的高风险。利用这个漏洞可以让未通过认证的远端攻击者透过 IPv6 (互联网规约版本六) 在受影响的系统执行任意程式码。系统管理员及用户应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

受影响的系统:

Microsoft Windows 10、11
Microsoft Windows Server 2008、2008 R2、2012、2012 R2、2016、2019、2022、2022、23H2 Edition
Microsoft Office 2019、LTSC 2021、LTSC for Mac 2021
Microsoft OfficePLUS
Microsoft Outlook 2016
Microsoft PowerPoint 2016
Microsoft Project 2016
Microsoft 365 Apps for Enterprise
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Visual Studio 2022
.NET 8.0
App Installer
CBL Mariner 1.0、2.0
Microsoft Teams for iOS
Remote Desktop client for Windows Desktop
Azure Connected Machine Agent
Azure CycleCloud 8.0.0、 8.0.1、 8.0.2、 8.1.0、 8.1.1、 8.2.0、 8.2.1、 8.2.2、 8.3.0、 8.4.0、 8.4.1、 8.4.2、 8.5.0、 8.6.0、 8.6.1、 8.6.2
Azure Health Bot
Azure IoT Hub Device Client SDK
Azure Linux 3.0
Azure Stack Hub
C SDK for Azure IoT

已停用 IPv6 的系统不易受到漏洞 CVE-2024-38063 的攻击。有关详细资料，请参阅供应商网站的相应安全性更新指引。

影响:

成功利用漏洞可以在受影响的系统导致远端执行程式码、服务被拒绝、权限提升、泄漏资讯、绕过保安功能、仿冒诈骗或篡改。

建议:

受影响系统的修补程式可在 Windows Update 或 Microsoft Update Catalog 获取。受影响系统的系统管理员及用户应遵从供应商的建议，立即採取行动以降低风险。

进一步资讯:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug
https://www.hkcert.org/tc/security-bulletin/microsoft-monthly-security-update-august-2024
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3775
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21302
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-29187
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-29995
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38063
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38081
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38084
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38098
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38106 (to CVE-2024-38109)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38114 (to CVE-2024-38118)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38120 (to CVE-2024-38123)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38125 (to CVE-2024-38128)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38130 (to CVE-2024-38138)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38140 (to CVE-2024-38148)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38150 (to CVE-2024-38155)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38157 (to CVE-2024-38163)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38165
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38167 (to CVE-2024-38173)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38177 (to CVE-2024-38178)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38180
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38184 (to CVE-2024-38187)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38189
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38191
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38193
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38195 (to CVE-2024-38201)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38211
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38213 (to CVE-2024-38215)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38223
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

标签 : Microsoft , Windows , Windows Server , Microsoft Office , Microsoft Project , Microsoft 365 Apps , Microsoft Teams , Outlook , Remote Desktop , Visual Studio , Dynamics 365 , .NET , CBL Mariner , Microsoft Azure , Microsoft OfficePLUS , PowerPoint