微软SharePoint曝出高危漏洞，存在远程执行任意指令风险

1 月 13 日消息，CISA近日发布警告，现有证据表明有黑客利用微软 SharePoint 中的提权漏洞，配合另一个“关键”级别漏洞，能远程执行任意命令。

该漏洞追踪编号为 CVE-2023-29357，远程攻击者可利用欺骗的 JWT 验证令牌规避身份验证，从而在未打补丁的服务器上获得管理权限。

微软解释说：“获得欺骗性 JWT 身份验证令牌的攻击者可以利用这些令牌执行网络攻击，从而绕过身份验证，获得已通过身份验证用户的权限。成功利用此漏洞的攻击者可获得管理员权限。”

攻击者再配合追踪编号为 CVE-2023-24955 SharePoint Server 远程代码执行漏洞，可以在 SharePoint 服务器上注入命令，执行任意代码。

STAR 实验室研究员 Jang（Nguyễn Tiến Giang）于去年 3 月在温哥华举行的 Pwn2Own 竞赛中成功演示了这个 Microsoft SharePoint Server 漏洞链，并赢得了 10 万美元（备注：当前约 71.7 万元人民币）的奖励。

研究人员于 9 月 25 日发表了一份技术分析报告，详细描述了开采过程。仅一天后，一名安全研究人员也在 GitHub 上发布了 CVE-2023-29357 概念验证漏洞。

微软诚邀Win10/Win11用户试用照片应用新版本：集成iCloud照片同步，新增必应智能搜图功能

近日消息，微软公司发布新闻稿，诚邀Windows Insider项目中的Windows 11体验者以及Beta通道与Release Preview通道的Windows 10用户，积极参与测试其最新发布的9月迭代版微软照片（Microsoft Photos）应用，共同探索升级后的功能与体验。

微软在博文中强调，新版微软照片应用正处于逐步推广阶段，因此现阶段并非所有符合条件的 Windows Insider 参与测试，且可能测试的功能并不完整。

在 Windows 10 上访问和查看 iCloud 照片

微软为 Windows 10 用户带来同步和查看 iCloud 照片的功能。

用户要访问 iCloud 照片，导航至照片应用中的 iCloud Photos，从 Microsoft Store 安装最新的 iCloud for Windows App，使用 Apple ID 登录，然后选择同步 iCloud 照片。几分钟后，用户就会看到所有 iCloud 照片内容开始自动出现在照片应用中。

Windows 10 上的 Windows App SDK 和 WinUI3

微软于今年 4 月在 Windows 11 上更新了照片应用，采用了全新的 Windows App SDK 平台，充分利用了该平台的现代 UI 以及其他质量和性能优化。

微软将继续努力在所有应用程序版本中创建一致、高性能的体验，也将为 Windows 10 上的照片应用程序带来这一平台升级。

新版本将保留照片应用当前的所有功能和特性。

图库导航更新

微软更新了图库中的导航面板，以提高可用性和查找本地和云内容的便捷性，附上相关信息如下：

用户通过顶部的“图库”（Gallery）选项，可以在一个地方访问所有照片内容，无论它们来自 PC、iCloud 还是 OneDrive。

用户要查看从云提供商同步的照片，请单击 OneDrive - Personal、OneDrive - Business 或 iCloud Photos 选项。

在底部的“这台电脑”（This PC）部分，用户可以找到已添加到照片 App 的所有文件夹和内容。要在此视图中添加更多照片和视频，请单击“图库”（Gallery）旁边的添加文件夹图标。

使用必应搜索图片

在查看器中，用户可以使用我们新的必应可视化搜索功能在线搜索图像。只需点击图像底部的必应可视搜索图标（也可通过右键单击下拉菜单）。这将打开必应搜索结果，包括类似图片、相关产品和其他相关内容。

其它改进和修复

微软添加了一个选项，让照片应用在后台运行时尽量减少进程，以提高应用的启动速度。如果不想让照片在后台运行，可以关闭“设置”下的“性能”选项。

用户可以在文件资源管理器或桌面上快速编辑图片，方法是右键单击图片并选择“在照片中编辑”，然后打开“照片编辑器”，在这里你可以裁剪、旋转或标记图片，还可以应用调整和 AI 驱动的编辑。

微软Xbox裁员波及多个团队，《使命召唤：战区手游》因表现不佳已大规模缩减

微软最近宣布的一项裁员决定撼动游戏界，涉及约650名员工，主要为支持岗位。游戏部门负责人Phil Spencer强调，此番调整旨在优化团队结构，保障长期发展，不影响工作室运营及游戏开发。但GameFile指出，《使命召唤：战区手游》因表现不佳已实施大规模缩减，揭示了即便是知名品牌，在移动市场亦非稳操胜券。

Spencer虽对新作寄予厚望，希望通过其提振Xbox Game Pass，但成效仍属未知。与此同时，动视暴雪工会代表对裁员背后的“结构调整”说法提出质疑，并呼吁更多团队组建工会，以应对行业不断的人才流失。值得注意的是，微软与动视暴雪合并至今，未见显著正面效应，已有2500名员工失去工作，未来裁员阴影依旧笼罩。