2024年1月安全更新程序(月例)
2024年1月9日(美国时间),微软发布了安全更新程序,以修复影响微软产品的漏洞。受影响产品的用户应尽快应用已发布的安全更新程序。请注意,微软产品默认启用自动更新(部分例外情况除外),安全更新程序将自动应用。最新信息请查看安全更新程序指南。
此外,本月的“恶意软件删除工具”新增了可删除的恶意软件。详细信息请参阅目标恶意软件家族。
安全更新程序、安全公告的主要注意事项
应用本月的安全更新程序后,Office产品将无法插入FBX格式的文件。
如果已在Office文档中从FBX文件插入了3D模型,则仅在插入时未选择“Link to File”选项的情况下,才能继续正常工作。详细信息请参阅CVE-2024-20677。
安全更新程序的已知问题请参阅各安全更新程序的支持技术信息。已知问题的支持技术信息列表发布于2024年1月安全更新程序发行说明。
2024年1月发布安全更新程序的产品、组件列表
2024年1月9日(美国时间)发布安全更新程序的产品及组件列表,请查看2024年1月安全更新程序发行说明。
2024年1月安全更新程序列表
2024年1月9日(美国时间)发布的安全更新程序列表如下:
最新信息请查看安全更新程序指南。
| 产品系列 | 最大严重性 | 最大影响 | 相关支持技术信息或支持网页 |
|---|---|---|---|
| Windows 11 v23H2, v22H2, v21H2 | 紧急 | 远程代码执行 | v23H2, v22H2 5034123 v21H2 5034121 |
| Windows 10 v22H2, v21H2 | 紧急 | 远程代码执行 | 5034122 |
| Windows Server 2022, 23H2(含Server Core安装) | 紧急 | 远程代码执行 | Windows Server 2022 5034129 Windows Server 23H2 5034130 |
| Windows Server 2019, 2016(含Server Core安装) | 紧急 | 远程代码执行 | Windows Server 2019 5034127 Windows Server 2016 5034119 |
| Microsoft Office | 重要 | 远程代码执行 | https://learn.microsoft.com/officeupdates |
| Microsoft SharePoint | 重要 | 远程代码执行 | https://learn.microsoft.com/officeupdates/sharepoint-updates |
| Microsoft .NET Framework | 重要 | 安全功能绕过 | https://learn.microsoft.com/dotnet/framework |
| Microsoft .NET | 重要 | 安全功能绕过 | https://learn.microsoft.com/dotnet |
| Microsoft Visual Studio | 重要 | 特权提升 | https://learn.microsoft.com/visualstudio |
| Microsoft SQL Server | 重要 | 安全功能绕过 | https://learn.microsoft.com/sql |
| Microsoft Azure | 重要 | 远程代码执行 | https://learn.microsoft.com/azure |
现有漏洞信息更新
2024年1月9日(美国时间),更新了7个现有漏洞。
CVE-2023-36042 Visual Studio的服务拒绝漏洞
安全更新程序表中添加了安装.NET Framework 3.5和4.8.1的以下支持版本:
- Windows 10版本21H2
- Windows 10版本22H2
- Windows Server 2022
- Windows 11版本21H2
- Windows 11版本22H2
- Windows 11版本23H2
- Windows Server Windows Server 2022, 23H2 Edition(Server Core安装)
.NET Framework 4.8.1受此漏洞影响。微软建议安装2024年1月的更新程序以完全防护此漏洞。设置为接收自动更新的系统无需进一步操作。
CVE-2023-29349 Microsoft ODBC和OLE DB的远程代码执行漏洞
CVE-2023-32028 Microsoft SQL OLE DB的远程代码执行漏洞
CVE-2023-32027 / CVE-2023-32026 / CVE-2023-32025 / CVE-2023-29356 SQL Server用Microsoft ODBC驱动程序的远程代码执行漏洞
以下产品也受此漏洞影响,已添加到安全更新程序表:
- Visual Studio 2019版本16.11
- Visual Studio 2022版本17.2
- Visual Studio 2022版本17.4
- Visual Studio 2022版本17.6
- Visual Studio 2022版本17.8
微软强烈建议使用这些产品的用户安装更新程序以完全防护此漏洞。设置为接收自动更新的系统无需进一步操作。
新安全公告的发布
本月未发布新的安全公告。
现有安全公告的更新
2024年1月9日(美国时间),更新了2个现有公告。
ADV190023 启用LDAP通道绑定和LDAP签名的微软指南
2024年1月9日的安全更新程序发布后,2023年8月添加的审核更改现可在Windows Server 2019中使用。无需按照推荐操作步骤3中的说明执行MSI安装或策略创建。
ADV990001 最新服务堆栈更新程序
公告已更新,以通知新版本的服务堆栈更新程序可用。详细信息请参阅FAQ。
补充信息
最新服务堆栈更新程序(SSU)请查看公告ADV990001。
Microsoft Edge(基于Chromium)的安全信息发布计划与月例发布不同,请在安全更新程序指南中选择Microsoft Edge(基于Chromium)产品或查看Edge的安全发布信息。
各漏洞信息(CVE)页面可能包含缓解措施、变通方案、注意事项和常见问题等附加信息。应用安全更新程序前请一并确认。
最新信息请查看安全更新程序指南。安全更新程序指南可按CVE、KB编号、产品或发布日期排序和筛选。要筛选每月的安全更新程序,请在日期范围中指定该月的第二个星期二进行搜索。此外,可利用安全更新程序指南API创建自定义报告。我们发布了6个介绍API使用方法的视频(API信息(GitHub)、API访问、HTML文件输出、导出到Excel、获取CVE列表、获取KB列表),请务必利用。
微软已更新安全更新程序的新信息和更新信息的通知方式,以确保用户及时接收。尚未订阅或仅通过电子邮件接收通知的用户,请借此机会通过以下任一方式注册:
- 通知方法1:创建配置文件:安全更新程序指南的通知系统:立即创建配置文件
- 通知方法2:通过RSS源订阅:安全更新程序通知和交付的改进 – 关于新的交付方法
下一次安全更新程序发布计划于2024年2月13日(美国时间)。详细信息请参阅年度计划。