微软刚刚宣布，他们在Xbox游戏服务中发现了一个重大缺陷，更新必须纠正这种情况，从而保护用户。

　　所有制造商都受到这种类型的安全漏洞的影响，最近我们看到PlayStation商店无法使用，甚至任天堂几个月前也遭受了ENLBufferPwn，为每款在线游戏发布了大量修复程序。

　　这个漏洞也可以让黑客访问受保护的微软代码部分，雷德蒙德公司通知说，2024年3月20日在Xbox游戏服务中检测到一个安全漏洞。

　　根据微软的说法，“一个程序会设法利用这个漏洞来获得系统特权”，除了它是CVE-2024-28916之外，没有透露更多信息，但是这个漏洞会影响PC，主机和移动设备上的所有Xbox, Xbox Family Settings或Game Pass应用程序。

　　如果他设法利用这个漏洞，他能获得什么特权?

　　-成功利用此漏洞的攻击者可以获得系统特权。

　　根据CVSS指标，攻击向量是本地的(AV:L)，所需的特权很低(PR:L)。这种脆弱性的影响是什么?

　　-攻击者必须具有对目标计算机的本地访问权限，并且必须能够在计算机上创建文件夹和性能跟踪，默认情况下为所有用户分配有限的特权。

　　如何获得更新应用程序?

　　-微软商店将自动更新受影响的客户。客户也可以立即得到更新;有关设备上安装的应用程序的信息，请参阅此处。

　　-可以禁用来自Microsoft Store的自动更新。微软商店不会为这些客户自动安装此更新。

　　—如果您希望立即获取更新，或者未启用自动更新，请选择“获取更新”。然后，你可以通过为每个应用程序选择“更新”来单独更新应用程序，或者选择“全部更新”来安装所有更新。我们建议选择“更新所有应用程序”以保持保护。

　　-使用Microsoft Store for Business和Microsoft Store for Education的客户可以通过其组织获得此更新。

　　如何检查更新是否已安装?

　　19.87.13001.0及以上版本的游戏服务应用程序包包含此更新。

　　你可以在PowerShell中查看包的版本:

　　根据CVSS指标，成功的利用可能导致范围的变化(S:C)。这个漏洞是什么?

　　被利用的漏洞可能会影响易受攻击组件的安全授权机构管理的安全范围之外的资源。在这种情况下，易受攻击的组件和受影响的组件是不同的，由不同的安全机构管理。

　　在开发人员方面，是Wh04m1001, philip Dragovich，我们欠他所有这些令人印象深刻的工作。他在他的Github个人资料上发布了一个演示视频，他经常提供缺陷，这一个会给人留下深刻的印象。

　　感谢the -return提供的信息