微软周二推出了针对Windows生态系统中几个关键安全漏洞的修复程序，并警告称，黑客可能会针对这些问题来完全控制未打补丁的机器。

作为其常规补丁星期二发布的一部分，微软记录了一系列产品中的至少 33 个漏洞，并呼吁紧急关注 MSHTML 平台、Microsoft Power Platform 连接器和 Internet 连接共享 (ICS) 组件中的远程代码执行错误。

这家全球最大的软件制造商还纳入了困扰其 Microsoft Edge 浏览器的 Chromium 安全漏洞以及众所周知的 AMD 推测执行问题。

雷德蒙德的安全响应团队总共记录了至少 42 个漏洞（按 CVE 计数），其中四个标记为严重级别。

根据追踪软件漏洞的公司ZDI 的数据，这家软件巨头今年已修补了 900 多个 CVE，成为微软补丁最繁忙的年份之一。

敦促 Windows 队列管理员特别关注CVE-2023-36019，它解决了 Microsoft Power Platform 连接器中的一个严重欺骗错误。该问题的 CVSS 严重性评分为 9.6/10，可以通过专门操纵的 URL 来利用。

微软警告说：“攻击者可以操纵恶意链接、应用程序或文件，将其伪装成合法链接或文件来欺骗受害者。” 该公司在公告中表示：“该漏洞存在于网络服务器中，但恶意脚本在受害者计算机上的浏览器中执行。”

微软还对 Windows MSHTML 平台中的一个可远程利用的代码执行缺陷 ( CVE-2023-35628 )给予了严重评级，并警告称，攻击者可能会发送特制的电子邮件，该电子邮件在 Outlook 客户端检索和处理时会自动触发。

微软指出：“这可能会导致在预览窗格中查看电子邮件之前遭到利用”，并警告说，在最坏的电子邮件攻击场景中，攻击者可以向用户发送特制的电子邮件，而无需受害者打开，阅读或点击链接。

“这可能导致攻击者在受害者的机器上执行远程代码。当可以使用多种攻击媒介时，我们会根据风险较高的场景进行评分。”该公司表示。

12 月份的补丁还修复了两个关键的 Internet 连接共享 (ICS) 缺陷以及影响 Microsoft Office、Azure、Windows Defender 以及 Windows DNS 和 DHCP 服务器的多个问题。