2024年3月补丁星期二更新修复了两个关键的Hyper-V缺陷

　　今天，作为 2024 年 3 月补丁的一部分，Microsoft 为其产品和服务发布了一系列安全更新，以解决各种漏洞和错误。2024 年 3 月补丁星期二更新，解决了 61 个安全漏洞，包括两个关键的 Hyper-V 漏洞和 18 个远程代码执行漏洞。它还解决了一系列与性能和可用性相关的其他错误。尽快安装这些更新非常重要，以保护您的设备免受潜在的攻击和利用。让我们看看 2024 年 3 月针对 Windows 11 和 Windows 10 的 Microsoft 补丁星期二更新的亮点。

　　什么是 Patch Tuesday 更新?

　　Microsoft Patch Tuesday Update是Microsoft Update Tuesday的俗称，在每个月的第二个星期二，并带来安全更新以修复漏洞或最近的错误。

　　漏洞是软件或硬件组件中的弱点或缺陷，攻击者可以利用这些弱点或缺陷来获取未经授权的访问、执行恶意代码或造成损坏或中断。错误是软件或硬件组件中的错误或缺陷，可能导致其故障或行为异常。安全更新是一种软件补丁，用于修复或缓解一个或多个漏洞或错误。

　　安全更新的评级可能不同，具体取决于其解决的漏洞或缺陷的严重性和影响。Microsoft 使用四种评级：严重、重要、中等和低。

　　• 此关键更新修复了一个漏洞，该漏洞可能允许攻击者在没有用户交互的情况下完全控制系统。

　　• 重要更新修复了可能危及数据或功能但需要用户交互或特定条件的漏洞。

　　• 中等更新修复了一个不太可能被利用但仍可能产生一些影响的漏洞。

　　• 低更新修复了一个极不可能被利用且影响最小的漏洞。

　　Microsoft 补丁星期二更新 2024 年 3 月

　　2024 年 3 月补丁星期二包括 61 个安全更新，其中两个漏洞被归类为严重漏洞(因为它允许特权提升、欺骗或远程代码执行)，其中 59 个的严重性评级为“重要”。关键更新会影响 Windows、Internet Explorer、Edge、Office、SharePoint、Exchange 和 Azure DevOps Server。

　　根据发行说明，2024 年 3 月 Microsoft 补丁星期二更新修复了 24 个特权提升安全问题、18 个远程代码执行错误、6 个信息泄露漏洞、3 个安全功能绕过漏洞、2 个拒绝服务漏洞和 2 个欺骗漏洞。

　　Microsoft没有透露任何零日漏洞，作为今天补丁星期二更新的一部分。

　　Microsoft 的 2024 年 3 月补丁星期二，其中包括总共 61 个漏洞的安全更新。

　　Microsoft 修复了 Windows Hyper-V 中的两个关键错误

　　• CVE-2024-21407：Windows Hyper-V 远程代码执行漏洞CVE-2024-21407： Windows Hyper-V Remote Code Execution Vulnerability

　　• CVE-2024-21408：Windows Hyper-V 拒绝服务漏洞CVE-2024-21408： Windows Hyper-V Denial of Service Vulnerability

　　CVE-2024-21407 是 Microsoft Windows Hyper-V 中的严重远程代码执行 (RCE) 漏洞，CVSS 评分为 8.1。来宾 VM 上经过身份验证的攻击者可以通过发送特制请求在主机服务器上执行代码。虽然利用起来很复杂，但它会带来严重的风险，需要立即修补。

　　CVE-2024-21408 是 Microsoft Windows Hyper-V 中的严重拒绝服务 (DoS) 漏洞，CVSS 评分为 5.5。成功利用此漏洞可能会破坏 Hyper-V 来宾功能，从而可能影响主机。虽然由于是本地攻击而被认为不太可能，但它仍然值得关注和修补。

　　其他一些亮点包括：

　　CVE-2024-21433 是 Windows Print Spooler 中的特权提升漏洞。利用此漏洞需要攻击者赢得争用条件。如果成功，攻击者可以获得 SYSTEM 权限。

　　CVE-2024-21437 是 Windows 图形组件中的特权提升漏洞。如果成功利用，攻击者可以将其权限提升到系统级别。

　　CVE-2024-26160 是 Windows 云文件微型筛选器驱动程序中的信息泄露漏洞。利用此漏洞可能允许攻击者访问内核内存的内容。

　　CVE-2024-26170 是 Windows 复合映像文件系统 (CimFS) 中的一个特权提升漏洞。如果被利用，攻击者可以获得 SYSTEM 权限。

　　CVE-2024-26182 是 Windows 内核中的一个特权提升漏洞。如果成功利用，攻击者可以将其权限提升到系统级别。

　　CVE-2024-26185 是 Windows 压缩文件夹中的一个篡改漏洞。利用此漏洞需要诱骗用户单击链接(通常是通过诱人的电子邮件或消息)，然后诱使他们打开特制文件。

　　Windows 客户端版本的更新

　　2024 年 3 月(补丁星期二) Windows 安全更新如下：

　　• 适用于最新 Windows 11 版本 22631.3296/22621H2 的KB5035853(操作系统内部版本 22631.3296/22621.22H2)

　　• 适用于最新 Windows 11 版本 21H2 的KB5035854 (操作系统内部版本 22000.2836)

　　• 适用于最新 Windows 10 版本 22H2/21H2 的KB5035845 (操作系统内部版本 19045.4170)

　　• 适用于最新 Windows 10 版本 1809 的KB5035849 (操作系统内部版本 17763.5576)

　　所有这些更新仅包含次要补丁和安全修复，而不是任何新功能。

　　注意：Windows 11 发布了多项新功能和改进，作为符合条件的 Windows 10 设备的免费升级。以下是免费升级到 Windows 11 的方法。

　　Windows 11 KB5035853 和 Windows 10 KB5035845解决 Windows 操作系统的安全问题。此外，Windows 11 KB5035853 使您能够在启用的设备上试用 moment 5 功能，并在 Windows 更新设置中提供最新更新后立即获取最新更新。

　　“电话链接”设置页面已重命名为“移动设备”，可以从“设置”>“蓝牙和设备”>“移动设备”访问。此外，今天的更新KB5035853 Windows 11 能够使用 PC 上的截图工具编辑来自 Android 设备的最近照片和屏幕截图。用户可以在“设置”>“蓝牙和设备”>“移动设备”>“管理设备”中启用此功能.

　　还添加了对 USB 80Gbps 标准的支持，要使用 USB 80Gbps，您必须拥有兼容的 PC 和 USB4 或 Thunderbolt™ 外围设备。解决了影响长边进纸打印机的问题，解决了导致 Windows 设置主页随机停止响应的问题。