微软Win10/Win11内核舛错线路：可赢得系统权限，6 月更新已确立

IT之家 12 月 17 日音信，好意思国汇聚安全和基础要道安全局（CISA）警戒联邦机构，需尽快确立 Windows 和 Adobe ColdFusion 舛错，以驻扎潜在的汇聚报复。

CISA 已将这两个舛错添加到其“已知被驾御舛错目次”（KEV），敦促联邦机构在三周内完成确立。

Windows 内核舛错 (CVE-2024-35250)

IT之家注：该舛错跟踪编号为 CVE-2024-35250，源于不受信任的指针取消援用舛错，统共这个词经由不需要用户交互，土产货报复者不错赢得系统权限。

受影响组件为 Microsoft 内核流工作 (MSKSSRV.SYS)，DEVCORE 讨论团队在 Pwn2Own 2024 黑客大赛上驾御该舛错，凯旋攻破了装配最新更新的 Windows 11 系统。

微软已在 2024 年 6 月的补丁星期二发布了确立补丁，舛错驾御的见解考据代码于本年 10 月在 GitHub 上公开。

Adobe ColdFusion 舛错 (CVE-2024-20767)

该舛错跟踪编号为 CVE-2024-20767，源于打听纪律失当，让未经身份考据的良友报复者读取系统过火他明锐文献。

报复者可驾御闪现在互联网上的 ColdFusion 工作器处分面板绕过安全法式，履行恣意文献系统写入操作。

Fofa 搜索引擎已跟踪到超过 145,000 个闪现在互联网上的 ColdFusion 工作器，但难以笃定哪些工作器的处分面板可被良友打听。

Adobe 已于 2024 年 3 月发布了确立补丁，但尔后多个见解考据舛错驾御代码已在网上公开。