微軟10月Win11更新未修復(fù)curl漏洞，其破壞力不亞于Log4j

IT之家 10 月 14 日消息，命令行工具 curl 近日曝出兩個(gè)漏洞，追蹤編號(hào)分別為 CVE202338545 和 CVE202338546，其中前者漏洞等級(jí)為“關(guān)鍵”，其破壞力不亞于 Log4j。

• CVE202338545，一個(gè)影響 libcurl 庫(kù)和 curl 工具的高嚴(yán)重性漏洞；

• CVE202338546，一個(gè)低嚴(yán)重性漏洞，僅影響 libcurl。

舊版 libcurl 庫(kù)和 curl 工具存在該漏洞，官方于 2023 年 10 月 11 日發(fā)布 8.4.0 版本更新，已經(jīng)修復(fù)了上述兩個(gè)漏洞。

微軟 Win10、Win11 系統(tǒng)默認(rèn)附帶 curl，而 10 月 11 日是微軟的補(bǔ)丁星期二活動(dòng)日，因此此前推測(cè)本月累積更新會(huì)包含 8.4.0 新版本，不過(guò)用戶在升級(jí)之后，發(fā)現(xiàn)依然停留在過(guò)時(shí)的 curl 版本中。

IT之家注：Curl 是從 1998 年開(kāi)始開(kāi)發(fā)的開(kāi)源網(wǎng)絡(luò)請(qǐng)求命令行工具，其具有豐富的 Api 和 Abi（應(yīng)用程序二進(jìn)制接口），被廣泛應(yīng)用于汽車(chē)、電視機(jī)、路由器、打印機(jī)、音頻設(shè)備、手機(jī)、平板電腦、醫(yī)療設(shè)備、機(jī)頂盒、電腦游戲、媒體播放器等各種設(shè)備中。

并且是數(shù)千種軟件應(yīng)用程序的互聯(lián)網(wǎng)傳輸引擎，安裝量超過(guò) 200 億，幾乎每位互聯(lián)網(wǎng)用戶日常都會(huì)用到 curl。作為組件廣泛用于應(yīng)用的 HTTP 請(qǐng)求，libcurl 也是一個(gè)非常流行和廣泛使用的網(wǎng)絡(luò)庫(kù)，被廣泛用于編寫(xiě)網(wǎng)絡(luò)應(yīng)用程序和客戶端。