微软2024年4月的补丁星期二：安全更新和漏洞

补丁星期二的更新：漏洞和修复

今天的补丁星期二解决了一系列漏洞，其中包括31个权限提升漏洞，29个安全功能绕过漏洞，67个远程代码执行漏洞，13个信息泄露漏洞，7个拒绝服务漏洞和3个欺骗漏洞。此外，还修复了26个Secure Boot绕过问题，其中包括两个来自联想。值得注意的是，总计150个漏洞不包括4月4日修复的五个Microsoft Edge漏洞和两个Mariner漏洞，Mariner是微软为其Azure服务开发的开源Linux发行版。

SharePoint零日漏洞

尽管微软在本月的补丁星期二中没有解决任何零日漏洞，但Varonis的研究人员发现了两个影响微软SharePoint的零日漏洞。第一种技术被称为“应用内打开方法”，利用SharePoint的“应用内打开”功能来下载文件，而不在文件的审计日志中留下痕迹。这种方法可以手动执行，也可以通过PowerShell脚本自动执行，从而快速窃取多个文件。第二种技术是使用Microsoft SkyDriveSync的用户代理，将事件误标为文件同步而不是下载，从而实现文件甚至整个站点的不可检测下载。微软尚未为这些漏洞分配CVE编号，并将它们添加到了待修补的积压任务中，没有固定的时间表。

其他供应商的更新

除了微软之外，其他几家供应商在2024年4月发布了安全更新或漏洞通告。有关2024年4月补丁星期二更新中解决的漏洞的全面列表，包括详细描述和受影响的系统，请参阅此处提供的完整报告。