微軟公司近日發布了1月安全更新公告，共發布了49個漏洞的補丁程序，修復了.NET、Microsoft Office、Windows Server 等產品中的漏洞。值得注意的是，微軟在2023年5月9日停止了Windows 10 20H2 的安全更新和技術支持，建議盡快升級系統。我中心提醒全校師生用戶盡快下載補丁更新，避免引發漏洞相關的網絡安全事件。

   漏洞概況：

   以下10個重要漏洞值得關注（包括2個緊急漏洞、8個重要漏洞），如下表所示：

   以下 9 個漏洞被微軟標記為“Exploitation More Likely”，這代表這些漏洞更容易被利用：

   ☆CVE-2024-20674 Windows Kerberos 安全特性繞過漏洞

   ☆CVE-2024-20683 Win32k  權限提升漏洞

   ☆CVE-2024-20698 Windows Kernel 權限提升漏洞

   ☆CVE-2024-21307 Remote Desktop Client 代碼執行漏洞

   ☆CVE-2024-20652 Windows HTML Platforms 安全特性繞過漏洞

   ☆CVE-2024-20653 Microsoft Common Log File System 權限提升漏洞

   ☆CVE-2024-20686 Win32k  權限提升漏洞

   ☆CVE-2024-21310 Windows Cloud Files Mini Filter Driver 權限提升漏洞

   ☆CVE-2024-21318 Microsoft SharePoint Server 代碼執行漏洞

   鑒于這些漏洞危害較大，建議客戶盡快安裝更新補丁。

   處置建議：

   Windows 自動更新

   Windows 系統默認啟用 Microsoft Update，當檢測到可用更新時，將會自動下載更新并在下一次啟動時安裝。還可通過以下步驟快速安裝更新：

   1、點擊“開始菜單”或按 Windows 快捷鍵，點擊進入“設置”

   2、選擇“更新和安全”，進入“Windows 更新”（Windows Server 2012 以及 Windows Server 2012 R2 可通過控制面板進入“Windows 更新”，步驟為“控制面板”-> “系統和安 全”->“Windows 更新”）

   3、選擇“檢查更新”，等待系統將自動檢查并下載可用更新

   4、重啟計算機，安裝更新

   系統重新啟動后，可通過進入“Windows 更新”->“查看更新歷史記錄”查看是否成功 安裝了更新。對于沒有成功安裝的更新，可以點擊該更新名稱進入微軟官方更新描述鏈接， 點擊最新的 SSU 名稱并在新鏈接中點擊“Microsoft 更新目錄”，然后在新鏈接中選擇適用 于目標系統的補丁進行下載并安裝。

   手動安裝補丁

   對于不能自動更新的系統版本，可參考以下鏈接下載適用于該系統的 1 月補丁并安裝：

   https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan

網絡信息技術中心

2024年1月15日