微软公司近日发布了1月安全更新公告，共发布了49个漏洞的补丁程序，修复了.NET、Microsoft Office、Windows Server 等产品中的漏洞。值得注意的是，微软在2023年5月9日停止了Windows 10 20H2 的安全更新和技术支持，建议尽快升级系统。我中心提醒全校师生用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

   漏洞概况：

   以下10个重要漏洞值得关注（包括2个紧急漏洞、8个重要漏洞），如下表所示：

   以下 9 个漏洞被微软标记为“Exploitation More Likely”，这代表这些漏洞更容易被利用：

   ☆CVE-2024-20674 Windows Kerberos 安全特性绕过漏洞

   ☆CVE-2024-20683 Win32k  权限提升漏洞

   ☆CVE-2024-20698 Windows Kernel 权限提升漏洞

   ☆CVE-2024-21307 Remote Desktop Client 代码执行漏洞

   ☆CVE-2024-20652 Windows HTML Platforms 安全特性绕过漏洞

   ☆CVE-2024-20653 Microsoft Common Log File System 权限提升漏洞

   ☆CVE-2024-20686 Win32k  权限提升漏洞

   ☆CVE-2024-21310 Windows Cloud Files Mini Filter Driver 权限提升漏洞

   ☆CVE-2024-21318 Microsoft SharePoint Server 代码执行漏洞

   鉴于这些漏洞危害较大，建议客户尽快安装更新补丁。

   处置建议：

   Windows 自动更新

   Windows 系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

   1、点击“开始菜单”或按 Windows 快捷键，点击进入“设置”

   2、选择“更新和安全”，进入“Windows 更新”（Windows Server 2012 以及 Windows Server 2012 R2 可通过控制面板进入“Windows 更新”，步骤为“控制面板”-> “系统和安 全”->“Windows 更新”）

   3、选择“检查更新”，等待系统将自动检查并下载可用更新

   4、重启计算机，安装更新

   系统重新启动后，可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功 安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接， 点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用 于目标系统的补丁进行下载并安装。

   手动安装补丁

   对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的 1 月补丁并安装：

   https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan

网络信息技术中心

2024年1月15日