微软于6月11日发布本月例行更新（Patch Tuesday），总共修补49个漏洞，其中有一个零时差漏洞，而引起关注。

此为网域名称系统安全扩充程序（DNSSEC）的设计缺陷漏洞CVE-2023-50868，存在于DNSSEC验证机制当中，假如DNS解析器使用NSEC3回应请求，攻击者可借由要求来自DNSSEC签章区域的回应，就有机会让实作DNSSEC验证机制的解析器耗尽处理器的运算资源，CVSS风险评为7.5分，微软为Windows Server 2012至2022版，发布相关的修补程序。

这个漏洞有几个特别的地方，首先，这项漏洞CVE编号并非微软自行登记，而是由资安团体MITRE所为，而且，登记的时间在今年2月13日，距微软发布修补程序间隔达4个月。通报漏洞的资安研究团队German National Research Center for Applied Cybersecurity ATHENE于今年3月，发布相关学术论文说明细节。但资安业者Rapid7指出，这些研究人员在公布的论文当中，可能淡化了该漏洞的威力，而让相关机构并未重视如何因应这项漏洞。

值得留意的是，该研究团队也在今年1月公布另一个名为KeyTrap的DNSSEC漏洞，而受到各界的高度关注，该漏洞被登记为CVE-2023-50387。虽然微软将这两项DNSSEC漏洞都归类为高风险层级，Rapid7的研究人员推测，很有可能微软认为CVE-2023-50387较为严重，因此延后对CVE-2023-50868的处理。

除了前述的DNSSEC漏洞，Rapid7、漏洞悬赏项目Zero Day Initiative（ZDI）皆指出，列为重大漏洞的CVE-2024-30080也需留意，这是Microsoft Message Queuing（MSMQ）的远程代码运行（RCE）漏洞，攻击者可在未经身分验证的情况下，在激活MSMQ功能的电脑上提升权限，从而运行任意代码，CVSS风险评分达到9.8。

Rapid7指出，虽然微软并未透露进一步细节，但这项漏洞利用的复杂程度并不高，不需要取得权限，而且有许多应用程序（如Exchange）将其列为必要组件，后续情况有待观察。ZDI则指出，通过这项漏洞可发展出网络蠕虫程序，而有可能横向感染其他MSMQ服务器。