国家漏洞库CNNVD:关于微软多个安全漏洞的通报

栏目: 编程工具 · 发布时间: 6年前

内容简介:近日,微软官方发布了多个安全漏洞的公告,包括MS XML 远程执行代码漏洞(CNNVD-201810-294、CVE-2018-8494)、Windows Hyper-V 远程执行代码漏洞(CNNVD-201810-327、CVE-2018-8490)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。本次漏洞公告涉及Microsoft Edge、Internet

近日,微软官方发布了多个安全漏洞的公告,包括MS XML 远程执行代码漏洞(CNNVD-201810-294、CVE-2018-8494)、Windows Hyper-V 远程执行代码漏洞(CNNVD-201810-327、CVE-2018-8490)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

本次漏洞公告涉及Microsoft Edge、Internet Explorer、Microsoft脚本引擎、Windows Hyper-V、Chakra 脚本引擎等Windows平台下应用软件和组件。漏洞详情如下:

1、 Internet Explorer 内存损坏漏洞(CNNVD-201810-297、CVE-2018-8491)、(CNNVD-201810-300、CVE-2018-8460)

漏洞简介:Internet Explorer部分版本存在远程代码执行漏洞,当Internet Explorer不正确地访问内存中的对象时,可触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

2、 Microsoft Edge 内存损坏漏洞(CNNVD-201810-292、CVE-2018-8473)、(CNNVD-201810-302、CVE-2018-8509)

漏洞简介:当 Microsoft Edge 不正确地访问内存中的对象时会触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

3、 Microsoft Edge 内存损坏漏洞(CNNVD-201810-327、CVE-2018-8490)、(CNNVD-201810-328、CVE-2018-8489)

漏洞简介:当主机服务器上的 Windows Hyper-V 无法正确验证用户操作系统上经身份验证的用户的输入时,存在远程代码执行会触发该漏洞。成功利用此漏洞的攻击者可以执行任意代码。

4、 Chakra 脚本引擎内存损坏漏洞(CNNVD-201810-303、CVE-2018-8500)、(CNNVD-201810-307、CVE-2018-8505)、(CNNVD-201810-309、CVE-2018-8511)、(CNNVD-201810-310、CVE-2018-8510)、(CNNVD-201810-334、CVE-2018-8513)

漏洞简介:Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的方式中时存在远程代码执行可能触发漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可以控制受影响的系统。攻击者可任意安装程序、查看、更改或删除数据、或者创建新帐户。

5、 MS XML 远程执行代码漏洞(CNNVD-201810-294、CVE-2018-8494)

漏洞简介:当 Microsoft XML Core Services MSXML 分析器处理用户输入时,存在代码远程执可能触发该行漏洞。成功利用此漏洞的攻击者可以远程运行恶意代码控制用户的系统。

二、 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:

序号

漏洞名称

官方链接

1

Internet  Explorer 内存损坏漏洞(CNNVD-201810-297、CVE-2018-8491)
(CNNVD-201810-300、CVE-2018-8460)
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8491
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8460

2

Microsoft  Edge 内存损坏漏洞

(CNNVD-201810-292、CVE-2018-8473)

(CNNVD-201810-302、CVE-2018-8509)

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8473
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8509

3

Windows  Hyper-V 远程执行代码漏洞
(CNNVD-201810-327、CVE-2018-8490)
(CNNVD-201810-328、CVE-2018-8489)
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8490
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8489

4

Chakra  脚本引擎内存损坏漏洞
(CNNVD-201810-303、CVE-2018-8500)
(CNNVD-201810-307、CVE-2018-8505)
(CNNVD-201810-309、CVE-2018-8511)
(CNNVD-201810-310、CVE-2018-8510)
(CNNVD-201810-334、CVE-2018-8513)
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8500
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8505
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8511
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8510
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8513

5

MS  XML 远程执行代码漏洞
(CNNVD-201810-294、CVE-2018-8494)
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8494

更多漏洞信息,可参考:

https://support.microsoft.com/en-us/help/20181009/security-update-deployment-information-october-9-2018

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Little MLer

The Little MLer

Matthias Felleisen、Daniel P. Friedman、Duane Bibby、Robin Milner / The MIT Press / 1998-2-19 / USD 34.00

The book, written in the style of The Little Schemer, introduces instructors, students, and practicioners to type-directed functional programming. It covers basic types, quickly moves into datatypes, ......一起来看看 《The Little MLer》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码