紧急安全更新：Microsoft 修补了 61 个漏洞，3 个零日

　　Microsoft 公布了 5 月的 Patch Tuesday 更新，其中包括对 61 个漏洞的修复，其中包括三个在补丁之前被积极利用或公开披露的零日漏洞。

　　在所有已解决的漏洞中，只有一个被认为是严重的漏洞 - Microsoft SharePoint Server中的远程代码执行漏洞。漏洞类别分布如下：

　　• 17 权限提升漏洞

　　• 2 安全功能绕过漏洞

　　• 27 远程代码执行漏洞

　　• 7 信息泄露漏洞

　　• 3 拒绝服务漏洞

　　• 4 欺骗漏洞

　　此广泛的列表不包括 5 月 2 日修复的两个 Microsoft Edge 漏洞和 5 月 10 日修复的另外四个漏洞。

　　零日漏洞修复

　　零日漏洞是指在官方补丁发布之前，在实际攻击中已公开披露或被积极利用的漏洞。这一次，Microsoft 解决了三个这样的漏洞：

　　• CVE-2024-30040(CVSS 评分 8.8)：Windows MSHTML 平台中存在安全功能绕过漏洞，允许攻击者通过易受攻击的 COM/OLE 控件执行任意代码。

　　• CVE-2024-30051(CVSS 评分 7.8)：Windows DWM 核心库中存在一个权限提升漏洞，使攻击者能够获取 SYSTEM 权限。

　　• CVE-2024-30046(CVSS 评分 5.9)：Visual Studio 中由使用共享资源并行执行期间的争用条件导致的拒绝服务漏洞。

　　除了修复这些零日漏洞外，Microsoft 还解决了在安装 4 月安全更新后导致 Windows 中的 VPN 连接失败的问题。这些修复也包含在最新的 Patch Tuesday 更新中，可以同时应用。

　　Microsoft 通过发布 5 月更新来解决 Windows 和相关产品中的关键漏洞，展示了一种负责任的方法。及时发布补丁，以及用户及时安装补丁，有助于保护易受攻击的设备，并将网络攻击的风险降至最低。