微軟於6月11日發布本月例行更新（Patch Tuesday），總共修補49個漏洞，其中有一個零時差漏洞，而引起關注。

此為網域名稱系統安全擴充程式（DNSSEC）的設計缺陷漏洞CVE-2023-50868，存在於DNSSEC驗證機制當中，假如DNS解析器使用NSEC3回應請求，攻擊者可藉由要求來自DNSSEC簽章區域的回應，就有機會讓實作DNSSEC驗證機制的解析器耗盡處理器的運算資源，CVSS風險評為7.5分，微軟為Windows Server 2012至2022版，發布相關的修補程式。

這個漏洞有幾個特別的地方，首先，這項漏洞CVE編號並非微軟自行登記，而是由資安團體MITRE所為，而且，登記的時間在今年2月13日，距微軟發布修補程式間隔達4個月。通報漏洞的資安研究團隊German National Research Center for Applied Cybersecurity ATHENE於今年3月，發布相關學術論文說明細節。但資安業者Rapid7指出，這些研究人員在公佈的論文當中，可能淡化了該漏洞的威力，而讓相關機構並未重視如何因應這項漏洞。

值得留意的是，該研究團隊也在今年1月公佈另一個名為KeyTrap的DNSSEC漏洞，而受到各界的高度關注，該漏洞被登記為CVE-2023-50387。雖然微軟將這兩項DNSSEC漏洞都歸類為高風險層級，Rapid7的研究人員推測，很有可能微軟認為CVE-2023-50387較為嚴重，因此延後對CVE-2023-50868的處理。

除了前述的DNSSEC漏洞，Rapid7、漏洞懸賞專案Zero Day Initiative（ZDI）皆指出，列為重大漏洞的CVE-2024-30080也需留意，這是Microsoft Message Queuing（MSMQ）的遠端程式碼執行（RCE）漏洞，攻擊者可在未經身分驗證的情況下，在啟用MSMQ功能的電腦上提升權限，從而執行任意程式碼，CVSS風險評分達到9.8。

Rapid7指出，雖然微軟並未透露進一步細節，但這項漏洞利用的複雜程度並不高，不需要取得權限，而且有許多應用程式（如Exchange）將其列為必要元件，後續情況有待觀察。ZDI則指出，透過這項漏洞可發展出網路蠕蟲程式，而有可能橫向感染其他MSMQ伺服器。