微软 Win10 / Win11 内核漏洞披露：可用于获取系统权限，今年 6 月更新已修复

据悉，美国网络安全和基础设施安全局（CISA）最近警告联邦机构，应尽快修复 Windows 和 Adobe ColdFusion 存在的漏洞，以防范潜在的网络攻击风险。

CISA将这两个漏洞列为“已知被利用漏洞目录”（KEV）中的项目，敦促联邦机构在短短三周内完成漏洞修复工作。

Windows 内核漏洞 (CVE-2024-35250)

该漏洞标识号为CVE-2024-35250，源自不受信任的指针取消引用漏洞，攻击者无需用户干预即可实施本地攻击，获取系统权限。

漏洞影响的是Microsoft内核流服务（MSKSSRV.SYS），DEVCORE研究小组在今年的Pwn2Own黑客大赛上成功利用该漏洞，成功入侵了安装有最新更新的Windows 11系统。

微软已在2024年6月的“补丁星期二”中发布了相应修复的安全补丁，漏洞利用的概念验证代码也于今年10月在GitHub上公开。

Adobe ColdFusion 漏洞 (CVE-2024-20767)

此漏洞的CVE标识号为CVE-2024-20767，源于访问控制不当，使得未经身份验证的远程攻击者能够读取系统和其他敏感文件。

黑客可以利用在互联网上暴露的ColdFusion服务器管理面板绕过安全措施，执行任意文件系统写操作。

Fofa搜索引擎已追踪到超过145,000台在互联网上暴露的ColdFusion服务器，但难以确定哪些服务器的管理面板可以被远程访问。

Adobe在2024年3月发布了相应的修复补丁，但此后许多概念验证漏洞利用代码已被公开在网上。

广告声明：本文含有的对外链接仅供参考，点击不代表支持或推荐。