漏洞风险提示（20240220）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)
一、漏洞描述：
       
        WebLogic是Oracle公司研发的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，在全球范围内被广泛使用。
        未经身份验证的威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server，成功利用该漏洞可能导致Oracle WebLogic Server被接管或未授权访问。
二、风险等级：
        高危
三、影响范围：
        Oracle WebLogic Server 12.2.1.4.0
        Oracle WebLogic Server 14.1.1.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.oracle.com/security-alerts/cpujan2024.html

---

2 Windows SmartScreen 安全功能绕过漏洞(CVE-2024-21351)
一、漏洞描述：
       
        威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞，成功利用可能导致绕过 SmartScreen安全功能。
        该漏洞允许威胁者将代码注入 SmartScreen 并可能获得代码执行权限，从而可能导致数据泄露、系统可用性影响，目前该漏洞已检测到漏洞利用。
二、风险等级：
        高危
三、影响范围：
        Windows SmartScreen
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb

---

3 Internet 快捷方式文件安全功能绕过漏洞(CVE-2024-21412)
一、漏洞描述：
       
        未经身份验证的威胁者可以向目标用户发送旨在绕过显示的安全检查的特制文件并诱导用户打开该文件，导致安全功能绕过。
        已发现APT组织Water Hydra（又名 DarkCasino）在针对金融交易者的活动中积极利用该漏洞。
二、风险等级：
        高危
三、影响范围：
        Internet Shortcut Files
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb

---

4 Microsoft Office 安全漏洞(CVE-2024-20673)
一、漏洞描述：
       
        Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Office存在安全漏洞。
二、风险等级：
        高危
三、影响范围：
        Microsoft Publisher 2016 (32-bit edition)
        Microsoft Publisher 2016 (64-bit edition)
        Skype for Business 2016 (32-bit)
        Skype for Business 2016 (64-bit)
        Microsoft Office 2019 for 32-bit editions
        Microsoft Office 2019 for 64-bit editions
        Microsoft Office LTSC 2021 for 64-bit editions
        Microsoft Office LTSC 2021 for 32-bit editions
        Microsoft Excel 2016 (32-bit edition)
        Microsoft Excel 2016 (64-bit edition)
        Microsoft Office 2016 (32-bit edition)
        Microsoft Office 2016 (64-bit edition)
        Microsoft PowerPoint 2016 (32-bit edition)
        Microsoft PowerPoint 2016 (64-bit edition)
        Microsoft Visio 2016 (32-bit edition)
        Microsoft Visio 2016 (64-bit edition)
        Microsoft Word 2016 (32-bit edition)
        Microsoft Word 2016 (64-bit edition)
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2024-20673

---