安全動態(tài)

CNNVD關于微軟多個安全漏洞的通報

來源:聚銘網(wǎng)絡    發(fā)布時間:2018-12-20    瀏覽次數(shù):
 

信息來源:FreeBuf

前言

近日,微軟官方發(fā)布了多個安全漏洞的公告,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個漏洞。成功利用上述漏洞可以在目標系統(tǒng)上執(zhí)行任意代碼。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,采取修補措施。

一、漏洞介紹

本次漏洞公告涉及Microsoft Internet Explorer 、Microsoft Outlook 、Microsoft Excel 、Microsoft PowerPoint 、Microsoft VBScript、Chakra 腳本引擎、.NET Framework、Microsoft 文本到語音轉換等Windows平臺下應用軟件和組件。漏洞詳情如下:

1、Internet Explorer 安全漏洞(CNNVD-201812-458、 CVE-2018-8619)

漏洞簡介:Internet Explorer部分版本存在遠程代碼執(zhí)行漏洞,當Internet Explorer VBScript執(zhí)行策略未正確限制 VBScript時,可觸發(fā)該漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。

2、Microsoft Outlook 安全漏洞(CNNVD-201812-469、 CVE-2018-8587)

漏洞簡介:當 Microsoft Outlook 軟件無法正確處理內(nèi)存中的對象時,就會觸發(fā)該漏洞。攻擊者可以向目標系統(tǒng)發(fā)送經(jīng)過特殊設計的文件,從而在當前用戶權限下執(zhí)行惡意代碼。

3、Microsoft Excel安全漏洞(CNNVD-201812-466、 CVE-2018-8597)、(CNNVD-201812-446、 CVE-2018-8636)

漏洞簡介:當 Microsoft Excel軟件無法正確處理內(nèi)存中的對象時,就會觸發(fā)該漏洞。攻擊者必須誘使用戶使用Microsoft Excel打開經(jīng)特殊設計的文件,才能利用此漏洞。成功利用此漏洞的攻擊者可以在當前用戶權限下執(zhí)行惡意代碼。

4、Microsoft PowerPoint安全漏洞(CNNVD-201812-451、CVE-2018-8628)

漏洞簡介:當 Microsoft PowerPoint軟件無法正確處理內(nèi)存中的對象時,就會觸發(fā)該漏洞。攻擊者必須誘使用戶使用 Microsoft PowerPoint打開經(jīng)特殊設計的文件,才能利用此漏洞。成功利用此漏洞的攻擊者可以在當前用戶權限下執(zhí)行惡意代碼。

5、Microsoft VBScript安全漏洞(CNNVD-201812-454、CVE-2018-8625)

漏洞簡介:當 Microsoft VBScript引擎無法正確處理內(nèi)存中的對象時,就會觸發(fā)該漏洞。攻擊者必須誘使用戶使用 Microsoft Internet Explorer打開經(jīng)特殊設計的網(wǎng)頁或誘使用戶使用Microsoft Office 打開嵌入經(jīng)特殊設計的 ActiveX 控件的文檔等,才能利用此漏洞。成功利用此漏洞的攻擊者可以在當前用戶權限下執(zhí)行惡意代碼。

6、Microsoft .NET Framework安全漏洞(CNNVD-201812-472 、CVE-2018-8540)

漏洞簡介:當 Microsoft .NET Framework 處理不受信任的輸入時可能會觸發(fā)該漏洞。成功利用漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可任意安裝程序、查看、更改或刪除數(shù)據(jù)、或者創(chuàng)建新帳戶等。

7、Microsoft 文本到語音轉換程序安全漏洞(CNNVD-201812-448、CVE-2018-8634)

漏洞簡介:當Microsoft 文本到語音轉換程序無法正確處理內(nèi)存中的對象時,可能就會觸發(fā)該漏洞。成功利用漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可任意安裝程序、查看、更改或刪除數(shù)據(jù)、或者創(chuàng)建新帳戶等。

8、Chakra 腳本引擎安全漏洞(CNNVD-201812-450、CVE-2018-8629)、(CNNVD-201812-455、CVE-2018-8624)、(CNNVD-201812-459、CVE-2018-8618)、(CNNVD-201812-460、CVE-2018-8617)、(CNNVD-201812-470、CVE-2018-8583)

漏洞簡介:Chakra 腳本引擎在 Microsoft Edge 中處理內(nèi)存中的對象的時可能觸發(fā)該漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理權限登錄,攻擊者便可以任意安裝程序、查看、更改或刪除數(shù)據(jù)。

9、Windows權限提升漏洞(CNNVD-201812-442、CVE-2018-8641)、(CNNVD-201812-443、CVE-2018-8639)、(CNNVD-201812-462、CVE-2018-8611)

漏洞簡介:當Windows內(nèi)核無法正確處理內(nèi)存中的對象時,可能就會觸發(fā)該漏洞。攻擊者首先必須登錄到系統(tǒng)。然后運行一個經(jīng)特殊設計的應用程序,才能利用此漏洞。成功利用漏洞的攻擊者可以在內(nèi)核模式中運行任意代碼。攻擊者可任意安裝程序、查看、更改或刪除數(shù)據(jù)、或者創(chuàng)建新帳戶等。

二、修復建議

目前,微軟官方已經(jīng)發(fā)布補丁修復了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方鏈接地址如下:

序號 漏洞名稱 官方鏈接
1 Internet Explorer 安全漏洞(CNNVD-201812-458、 CVE-2018-8619) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8619
2 Microsoft Outlook 安全漏洞(CNNVD-201812-469、 CVE-2018-8587) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8587
3 Microsoft Excel安全漏洞(CNNVD-201812-466、 CVE-2018-8597)、(CNNVD-201812-446、 CVE-2018-8636) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8597https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8636
4 Microsoft PowerPoint安全漏洞(CNNVD-201812-451、CVE-2018-8628) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8628
5 Microsoft VBScript安全漏洞(CNNVD-201812-454、CVE-2018-8625) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8625
6 Microsoft .NET Framework安全漏洞(CNNVD-201812-472 、 CVE-2018-8540) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8540
7 Microsoft 文本到語音轉換程序安全漏洞(CNNVD-201812-448、 CVE-2018-8634) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8634
8 Chakra 腳本引擎安全漏洞(CNNVD-201812-450、CVE-2018-8629)、(CNNVD-201812-455、 CVE-2018-8624)、(CNNVD-201812-459、 CVE-2018-8618)(  CNNVD-201812-460、 CVE-2018-8617)、(CNNVD-201812-470、 CVE-2018-8583) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8617https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8618 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8624https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8629 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8583
9 Windows權限提升漏洞(CNNVD-201812-442、 CVE-2018-8641)、(CNNVD-201812-443、 CVE-2018-8639)、(CNNVD-201812-462、 CVE-2018-8611) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8641https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8639 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8611

CNNVD將繼續(xù)跟蹤上述漏洞的相關情況,及時發(fā)布相關信息。如有需要,可與CNNVD聯(lián)系。聯(lián)系方式: cnnvd@itsec.gov.cn

 
 

上一篇:聚銘網(wǎng)絡入庫2018國家級高新技術企業(yè)

下一篇:網(wǎng)絡安全和物聯(lián)網(wǎng):生物識別技術時代到來