IT之家 12 月 15 日消息,微软在今年 9 月发布的安全更新中,披露并修复了 SPNEGO NEGOEX(CVE-2022-37958)漏洞。在安全专家发现该漏洞还可以用于远程代码执行(RCE)之后,微软于今天将该漏洞标记为“关键”(critical)。IT之家了解到,黑客利用该漏洞可以利用 Server Message Block (SMB) 或者 Remote Desktop Protocol (RDP) 协议,在任意经过身份验证的 Windows 应用协议上访问 NEGOEX 协议,进而远程执行任意代码。当启用 SPNEGO 身份验证时,SPNEGO 还用于简单消息传输协议 (SMTP) 和超文本传输协议 (HTTP)。虽然微软现在将这个漏洞上调至“关键”,不过该漏洞在 CVSS 3.1 得分为 8.1(High),这是因为要利用这个漏洞非常复杂,而且需要经过多次尝试。幸运的是该漏洞的补丁在今年 9 月已经发布。
发现可远程执行任意代码后,微软重新标记 SPNEGO NEGOEX 漏洞为“关键”
2022-12-15 11:08:55来源: IT之家
关注公众号
赞
你的鼓励是对作者的最大支持
- 东南亚之行即将开启,微软 CEO 纳德拉拟访问印尼、泰国、马来西亚2024-04-25 21:45:59
- 苹果连放4个开源“小模型”,跑分却不到微软Phi-3一半,不卷性能卷效率?2024-04-25 19:31:34
- 微软新专利:基于用户互动情况发送社交平台通知2024-04-25 16:08:49
- 微软 Win11 开始菜单广告将面向所有用户推出,可手动关闭2024-04-24 17:53:35
- 微软 Win10 推送 4 月可选更新,新增微软账号相关通知等2024-04-24 06:43:30
- 微软 Win11 推送 4 月可选更新:改进任务栏小组件图标等2024-04-24 06:53:08
- 微软、谷歌和 OpenAI 等巨头承诺制定生成式 AI 发展措施,妥善保护儿童健康2024-04-24 08:29:54
- 5 年 11 亿美元,可口可乐和微软签署新合作:迁移至 Azure、探索 AI 应用2024-04-24 09:02:14
- 微软解锁 Copilot 特性:字符上限最高调至 1.6 万、支持梳理 PDF 等文件内容2024-04-24 09:17:04
- 微软扩充 Edge 浏览器文本编辑功能:重写指定内容、优化手写体验等2024-04-24 10:24:02
- 1中科创达滴水OS整车操作系统亮相北京车展
- 2雷军、谷歌、联想、甲骨文……F1 为什么成了科技圈春晚?
- 3IBM助客户赢得中国信通院"可信AI案例"奖
- 4谷歌计划投资 30 亿美元新建数据中心,并将设立 7500 万美元 Google AI 基金
- 5团结引擎亮相北京车展,Unity中国持续引领智能出行生态
- 6朱华荣:要培养长安汽车的“雷布斯”“余大嘴”,车市面临机遇远大于挑战
- 7三七互娱:一季度净利润6.16亿元,同比下降20.45%
- 8一汽丰田推出购车置换等补贴政策,国补 + 厂补最高 23000 元
- 9“全国老字号产业投资基金”有望近期设立
- 10医疗健康行业周报 | 「月泉仿生」再获千万元天使+轮融资;数字化口腔健康品牌「Oclean欧可林」获1亿元C轮融资