微软修补四个漏洞，其中一些漏洞非常严重且已被广泛利用

会杀毒的单反狗 军哥网络安全读报 2024-11-29 01:00

导读

11月26日，微软发布了四个新的安全公告，修复四个安全漏洞。这些漏洞是在 Microsoft Copilot Studio、Partner.Microsoft.Com 门户、Azure PolicyWatch 和 Dynamics 365 Sales 中检测到的。

Microsoft Copilot Studio 是一个供开发人员构建 AI 代理并使用自动化更快地编写代码的平台，该平台受到 9.3 分高危漏洞 ( CVE-2024-49038 ) 的影响。微软表示，它已完全缓解了这一漏洞，用户无需采取进一步措施。

微软表示：“未经授权的攻击者在 Copilot Studio 中生成网页（“跨站点脚本”）时对输入进行不当中和，会导致网络特权提升。”

Partner.Microsoft.Com 是 Microsoft 合作伙伴提供资源和工具的官方门户网站，受到8.7分特权提升漏洞的影响，漏洞编号为CVE-2024-49035。

Microsoft 检测到有人在利用此不当访问控制漏洞。未经身份验证的攻击者可利用此漏洞提升网络权限。用户无需采取任何措施 – 几天内将自动推出补丁。

Microsoft Azure PolicyWatch 是 Microsoft Azure 中的一项服务，允许组织创建、分配和管理策略，该服务受到 8.2分漏洞 ( CVE-2024-49052 ) 的影响。

描述中写道：“Microsoft Azure PolicyWatch 中关键功能缺少身份验证，导致未经授权的攻击者可以通过网络提升权限。”

微软表示，该漏洞已得到完全缓解，该服务的用户无需采取任何措施。

基于云的客户关系管理 (CRM) 解决方案 Microsoft Dynamics 365 Sales 受到重要 7.6 分（满分 10 分）欺骗漏洞( CVE-2024-49053) 的影响。

它使潜在攻击者能够修改易受攻击的链接的内容，将受害者重定向到恶意网站。攻击者需要经过身份验证才能利用此漏洞。但是，它不需要更高的权限。用户需要点击特制的 URL 才有机会被攻击者入侵。

微软表示：“该漏洞存在于网络服务器中，但恶意脚本会在受害者机器的浏览器中执行。”目前没有迹象表明这个之前未披露的漏洞被利用。

新闻链接：

https://cybernews.com/security/microsoft-patches-four-critical-vulnerabilities/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事