国家漏洞库CNNVD:关于微软多个安全漏洞的通报

栏目: 编程工具 · 发布时间: 6年前

内容简介:近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到

近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

本次漏洞公告涉及Microsoft Internet Explorer 、Microsoft Outlook 、Microsoft Word 、Microsoft Excel 、Microsoft Project 、Microsoft JScript、Microsoft SharePoint 、Microsoft PowerShell、Windows TFTP 服务器、Chakra 脚本引擎、Windows 内核、Microsoft Dynamics 365等Windows平台下应用软件和组件。漏洞详情如下:

1、Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)

漏洞简介:Internet Explorer部分版本存在远程代码执行漏洞,当Internet Explorer不正确地访问内存中的对象时,可触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

2、 Microsoft Outlook 安全漏洞(CNNVD-201811-376、CVE-2018-8522)、(CNNVD-201811-378、CVE-2018-8524)、(CNNVD-201811-377、CVE-2018-8576)、(CNNVD-201811-379、CVE-2018-8582)

漏洞简介:当 Microsoft Outlook 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者可以向目标系统发送经过特殊设计的文件,从而在当前用户权限下执行恶意代码。

3、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)

漏洞简介:当 Microsoft Word 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者必须诱使用户使用Microsoft Word打开经特殊设计的文件,才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

4、Microsoft Excel 安全漏洞(CNNVD-201811-385、CVE-2018-8574)、(CNNVD-201811-386、CVE-2018-8577)

漏洞简介:当 Microsoft Excel 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者必须诱使用户使用 Microsoft Excel 打开经特殊设计的文件,才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

5、 Microsoft JScript 安全漏洞(CNNVD-201811-360、CVE-2018-8417)

漏洞简介:Microsoft JScript 中存在可能允许攻击者绕过 Device Guard 的安全功能的漏洞,攻击者通过访问本地计算机,然后运行经特殊设计的应用程序从而创建任意 COM 对象。

6、 Windows Search 安全漏洞(CNNVD-201811-362、CVE-2018-8450)

漏洞简介:如果Windows Search无法正确处理内存中的对象,就会触发该漏洞。攻击者需要向Windows Search 服务发送经特殊设计的消息,从而执行恶意文件。

7、Microsoft PowerShell安全漏洞(CNNVD-201811-347、CVE-2018-8256)、(CNNVD-201811-358、CVE-2018-8415)

漏洞简介:如果Microsoft PowerShell无法正确处理内存中的对象,可能就会触发该漏洞。攻击者可以向目标系统发送经过特殊设计的文件,从而执行恶意文件。

8、Microsoft SharePoint 权限提升漏洞(CNNVD-201811-382、CVE-2018-8568)、(CNNVD-201811-383、CVE-2018-8572)

漏洞简介:当 Microsoft SharePoint Server 没有正确地处理发往SharePoint 服务器的 Web 请求时,就会触发该漏洞。经过身份验证的攻击者可能通过向受影响的 SharePoint 服务器发送经特殊设计的请求来利用此漏洞,从而执行恶意文件。

9、Microsoft Project 安全漏洞(CNNVD-201811-371、CVE-2018-8575)

漏洞简介:当 Microsoft Project 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开,从而执行恶意代码。

10、Windows 内核信息泄漏漏洞(CNNVD-201811-355、CVE-2018-8408))

漏洞简介:当 Windows 内核不正确地处理内存中的对象时会触发该漏洞。成功利用此漏洞的攻击者可以获取信息,从而进一步入侵用户系统。已经过身份验证的攻击者可以通过运行经特殊设计的应用程序来利用此漏洞。

11、Windows TFTP 服务器安全漏洞(CNNVD-201811-341、CVE-2018-8476)

漏洞简介:Windows 部署服务 TFTP 服务器在处理内存中的对象时存在远程代码执行漏洞。攻击者可以创建经特殊设计的请求,提升 Windows 权限,从而执行恶意代码。

12、Chakra 脚本引擎安全漏洞(CNNVD-201811-338、CVE-2018-8541)、(CNNVD-201811-339、CVE-2018-8542)、(CNNVD-201811-390、CVE-2018-8543)(CNNVD-201811-340、CVE-2018-8551)、(CNNVD-201811-342、CVE-2018-8555)、(CNNVD-201811-345、CVE-2018-8556)、(CNNVD-201811-346、CVE-2018-8557)、(CNNVD-201811-348、CVE-2018-8588)

漏洞简介:Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的时可能触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理权限登录,攻击者便可以任意安装程序、查看、更改或删除数据。

13、Windows 权限提升漏洞(CNNVD-201811-373、CVE-2018-8592)

漏洞简介:如果在系统上使用物理介质(USB、DVD 等)安装程序,并在安装过程中选择了“不保留任何内容”选项,就会触发Windows 10 版本 1809 中的权限提升漏洞。成功利用此漏洞的攻击者可以在受影响系统上获得本地访问权限。

14、Microsoft Dynamics 365版本8安全漏洞(CNNVD-201811-396、CVE-2018-8609)

漏洞简介:当Dynamics服务器无法正确清理Web请求时,就会触发该漏洞。经过身份验证的攻击者可以通过向目标Dynamics服务器发送特殊构造的请求来利用此漏洞,从而在目标服务器上执行恶意代码。

  二、 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:

序号

漏洞名称

官方链接

1

Microsoft  Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8570

2

Microsoft  Outlook 安全漏洞(CNNVD-201811-376、CVE-2018-8522)、(CNNVD-201811-378、CVE-2018-8524)、(CNNVD-201811-377、CVE-2018-8576)、(CNNVD-201811-379、CVE-2018-8582) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8522
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8524
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8576
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8582

3

Microsoft  Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8539
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8573

4

Microsoft  Excel安全漏洞(CNNVD-201811-385、CVE-2018-8574)、(CNNVD-201811-386、CVE-2018-8577) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8574
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8577

5

Microsoft  JScript 安全漏洞(CNNVD-201811-360、CVE-2018-8417) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8417

6

Windows  Search 安全漏洞(CNNVD-201811-362、CVE-2018-8450) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8450

7

Microsoft  PowerShell 安全漏洞(CNNVD-201811-347、CVE-2018-8256)、(CNNVD-201811-358、CVE-2018-8415) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8256
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8415

8

Microsoft  SharePoint 权限提升漏洞(CNNVD-201811-382、CVE-2018-8568)、(CNNVD-201811-383、CVE-2018-8572) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8568
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8572

9

Microsoft  Project 安全漏洞(CNNVD-201811-371、CVE-2018-8575) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8576

10

Windows  内核信息泄漏漏洞(CNNVD-201811-355、CVE-2018-8408) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8408

11

Windows  TFTP 服务器安全漏洞(CNNVD-201811-341、CVE-2018-8476) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8476

12

Chakra  脚本引擎安全漏洞(CNNVD-201811-338、CVE-2018-8541)、(CNNVD-201811-339、CVE-2018-8542)、(CNNVD-201811-390、CVE-2018-8543)(CNNVD-201811-340、CVE-2018-8551)、(CNNVD-201811-342、CVE-2018-8555)、(CNNVD-201811-345、CVE-2018-8556)、(CNNVD-201811-346、CVE-2018-8557)、(CNNVD-201811-348、CVE-2018-8588) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8541
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8542
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8543
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8551
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8555
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8556
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8557
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8588

13

Windows 权限提升漏洞(CNNVD-201811-373、CVE-2018-8592)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8592

14

Microsoft Dynamics 365版本8安全漏洞(CNNVD-201811-396、CVE-2018-8609)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8609

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

挑战编程技能

挑战编程技能

Brian P. Hogan / 臧秀涛 / 人民邮电出版社 / 2017-2 / 39.00元

新手程序员在具备了理论基础后,面对实际项目时,往往不知道如何解决问题;有经验的程序员在学习了一门新语言后,也会有很多不知道如何使用的特性。针对程序员的这一普遍困惑,资深软件工程师Brian P. Hogan在这本书中总结了57道练习题,教他们如何锤炼技能。这些练习题的难度会逐渐增加,使得编程训练充满挑战又乐趣多多。一起来看看 《挑战编程技能》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具