北京時間 1 月 12 日，微軟發(fā)布公告表示，在即將到來的 2024 年第一個補丁周二總共封堵了 49 個安全隱患，其中包括兩顆可能造成重大威脅的“重磅炸彈”——嚴重級別 Windows Kerberos 繞過漏洞 CVE-2024-20674 and Windows Hyper-V 遠程執(zhí)行代碼漏洞 CVE-2024-20700。

值得關注的是，編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9，可謂當之無愧的“年度最危險漏洞”。據悉，此漏洞可使黑客發(fā)動中間人攻擊，通過假冒 Kerberos 認證服務器欺騙用戶，從而獲得設備文件的讀寫權限。

至于 Windows Hyper-V 的漏洞 CVE-2024-20700，盡管其 CVSS 分數相對較低（為 7.5）但仍不容忽視。由于缺乏進一步的細節(jié)披露，Rapid 7 安全公司的軟件工程師推測黑客可能需進行復雜操作方能利用此漏洞。同時，此次披露中還有另一個嚴重級別的安全漏洞——僅被評為“重要性”但CVSS得分卻高達 8.7 的 CVE-2024-0056 。此漏洞為 Microsoft.Data.SqlClient 與 System.Data.SqlClient 相關的“程序安全功能繞過”漏洞，它使得黑客能夠繞過客戶端和服務器端的加密機制定義，破解和篡改TLS流量。