6月的微軟Patch Tuesday修補6個重大漏洞

微軟本周二（6/13）的Patch Tuesday總計列出了94個安全漏洞，其中有69個位於微軟產品中，另有25個源自於第三方產品，在屬於微軟的69個安全漏洞中，有6個被列為重大（Critical）等級，此次並未發現或修補零時差漏洞。

本月修補的重大漏洞涵蓋位於.NET、.NET框架及Visual Studio的遠端程式攻擊漏洞CVE-2023-24897、SharePoint Server的權限擴張漏洞CVE-2023-29357，Windows Hyper-V的服務阻斷漏洞CVE-2023-32013、以及3個位於Windows Pragmatic General Multicast（PGM）的遠端程式攻擊漏洞CVE-2023-29363、CVE-2023-32014與CVE-2023-32015。

PGM為一可靠群播電腦網路的傳輸協定，可同時向多個接收者提供可靠的封包序列，上述3個與該傳輸協定有關之漏洞的CVSS風險評分皆高達9.8。根據微軟的說明，當Windows訊息佇列服務在PGM伺服器環境中運作時，駭客即可自遠端藉由傳送特製的檔案以執行程式。不過，PGM的預設值是關閉的，必須由管理人員主動啟用。

值得注意的是，這已是微軟連續第三個月修補位於PGM的重大安全漏洞（CVE-2023-28250、CVE-2023-24943）。

另一個CVSS風險評分亦達9.8的是SharePoint Server的權限擴張漏洞CVE-2023-29357，駭客只要利用偽造的JWT驗證令牌，就能繞過身分驗證並取得管理員權限。