近日,微軟官方發(fā)布了多個(gè)安全漏洞的公告,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個(gè)漏洞。成功利用上述漏洞可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,采取修補(bǔ)措施。
一、 漏洞介紹
本次漏洞公告涉及Microsoft Internet Explorer 、Microsoft Outlook 、Microsoft Excel 、Microsoft PowerPoint 、Microsoft VBScript、Chakra 腳本引擎、.NET Framework、Microsoft 文本到語(yǔ)音轉(zhuǎn)換等Windows平臺(tái)下應(yīng)用軟件和組件。漏洞詳情如下:
1、Internet Explorer 安全漏洞(CNNVD-201812-458、 CVE-2018-8619)
漏洞簡(jiǎn)介:Internet Explorer部分版本存在遠(yuǎn)程代碼執(zhí)行漏洞,當(dāng)Internet Explorer VBScript 執(zhí)行策略未正確限制 VBScript 時(shí),可觸發(fā)該漏洞。成功利用該漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。
2、Microsoft Outlook 安全漏洞(CNNVD-201812-469、 CVE-2018-8587)
漏洞簡(jiǎn)介:當(dāng) Microsoft Outlook 軟件無(wú)法正確處理內(nèi)存中的對(duì)象時(shí),就會(huì)觸發(fā)該漏洞。攻擊者可以向目標(biāo)系統(tǒng)發(fā)送經(jīng)過(guò)特殊設(shè)計(jì)的文件,從而在當(dāng)前用戶權(quán)限下執(zhí)行惡意代碼。
3、Microsoft Excel安全漏洞(CNNVD-201812-466、 CVE-2018-8597)、(CNNVD-201812-446、 CVE-2018-8636)
漏洞簡(jiǎn)介:當(dāng) Microsoft Excel軟件無(wú)法正確處理內(nèi)存中的對(duì)象時(shí),就會(huì)觸發(fā)該漏洞。攻擊者必須誘使用戶使用Microsoft Excel打開(kāi)經(jīng)特殊設(shè)計(jì)的文件,才能利用此漏洞。成功利用此漏洞的攻擊者可以在當(dāng)前用戶權(quán)限下執(zhí)行惡意代碼。
4、Microsoft PowerPoint安全漏洞(CNNVD-201812-451、CVE-2018-8628)
漏洞簡(jiǎn)介:當(dāng) Microsoft PowerPoint軟件無(wú)法正確處理內(nèi)存中的對(duì)象時(shí),就會(huì)觸發(fā)該漏洞。攻擊者必須誘使用戶使用 Microsoft PowerPoint打開(kāi)經(jīng)特殊設(shè)計(jì)的文件,才能利用此漏洞。成功利用此漏洞的攻擊者可以在當(dāng)前用戶權(quán)限下執(zhí)行惡意代碼。
5、Microsoft VBScript安全漏洞(CNNVD-201812-454、CVE-2018-8625)
漏洞簡(jiǎn)介:當(dāng) Microsoft VBScript引擎無(wú)法正確處理內(nèi)存中的對(duì)象時(shí),就會(huì)觸發(fā)該漏洞。攻擊者必須誘使用戶使用 Microsoft Internet Explorer打開(kāi)經(jīng)特殊設(shè)計(jì)的網(wǎng)頁(yè)或誘使用戶使用Microsoft Office 打開(kāi)嵌入經(jīng)特殊設(shè)計(jì)的 ActiveX 控件的文檔等,才能利用此漏洞。成功利用此漏洞的攻擊者可以在當(dāng)前用戶權(quán)限下執(zhí)行惡意代碼。
6、Microsoft .NET Framework安全漏洞(CNNVD-201812-472 、CVE-2018-8540)
漏洞簡(jiǎn)介:當(dāng) Microsoft .NET Framework 處理不受信任的輸入時(shí)可能會(huì)觸發(fā)該漏洞。成功利用漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可任意安裝程序、查看、更改或刪除數(shù)據(jù)、或者創(chuàng)建新帳戶等。
7、Microsoft 文本到語(yǔ)音轉(zhuǎn)換程序安全漏洞(CNNVD-201812-448、CVE-2018-8634)
漏洞簡(jiǎn)介:當(dāng)Microsoft 文本到語(yǔ)音轉(zhuǎn)換程序無(wú)法正確處理內(nèi)存中的對(duì)象時(shí),可能就會(huì)觸發(fā)該漏洞。成功利用漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可任意安裝程序、查看、更改或刪除數(shù)據(jù)、或者創(chuàng)建新帳戶等。
8、Chakra 腳本引擎安全漏洞(CNNVD-201812-450、CVE-2018-8629)、(CNNVD-201812-455、CVE-2018-8624)、(CNNVD-201812-459、CVE-2018-8618)、(CNNVD-201812-460、CVE-2018-8617)、(CNNVD-201812-470、CVE-2018-8583)
漏洞簡(jiǎn)介:Chakra 腳本引擎在 Microsoft Edge 中處理內(nèi)存中的對(duì)象的時(shí)可能觸發(fā)該漏洞。成功利用該漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理權(quán)限登錄,攻擊者便可以任意安裝程序、查看、更改或刪除數(shù)據(jù)。
9、Windows權(quán)限提升漏洞(CNNVD-201812-442、CVE-2018-8641)、(CNNVD-201812-443、CVE-2018-8639)、(CNNVD-201812-462、CVE-2018-8611)
漏洞簡(jiǎn)介:當(dāng)Windows內(nèi)核無(wú)法正確處理內(nèi)存中的對(duì)象時(shí),可能就會(huì)觸發(fā)該漏洞。攻擊者首先必須登錄到系統(tǒng)。然后運(yùn)行一個(gè)經(jīng)特殊設(shè)計(jì)的應(yīng)用程序,才能利用此漏洞。成功利用漏洞的攻擊者可以在內(nèi)核模式中運(yùn)行任意代碼。攻擊者可任意安裝程序、查看、更改或刪除數(shù)據(jù)、或者創(chuàng)建新帳戶等。若要利用此漏洞,
二、修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時(shí)確認(rèn)漏洞影響,采取修補(bǔ)措施。微軟官方鏈接地址如下:
1、Internet Explorer 安全漏洞(CNNVD-201812-458、 CVE-2018-8619)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8619
2、Microsoft Outlook 安全漏洞(CNNVD-201812-469、 CVE-2018-8587)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8587
3、Microsoft Excel安全漏洞(CNNVD-201812-466、 CVE-2018-8597)、(CNNVD-201812-446、 CVE-2018-8636)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8597
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8636
4、Microsoft PowerPoint安全漏洞(CNNVD-201812-451、CVE-2018-8628)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8628
5、Microsoft VBScript安全漏洞(CNNVD-201812-454、CVE-2018-8625)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8625
6、Microsoft .NET Framework安全漏洞 (CNNVD-201812-472 、 CVE-2018-8540)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8540
7、Microsoft 文本到語(yǔ)音轉(zhuǎn)換程序安全漏洞(CNNVD-201812-448、 CVE-2018-8634)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8634
8、Chakra 腳本引擎安全漏洞(CNNVD-201812-450、CVE-2018-8629)、(CNNVD-201812-455、 CVE-2018-8624)、(CNNVD-201812-459、 CVE-2018-8618)( CNNVD-201812-460、 CVE-2018-8617)、(CNNVD-201812-470、 CVE-2018-8583)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8617
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8618
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8624
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8629
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8583
9、Windows權(quán)限提升漏洞(CNNVD-201812-442、 CVE-2018-8641)、(CNNVD-201812-443、 CVE-2018-8639)、(CNNVD-201812-462、 CVE-2018-8611)
官方鏈接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8641
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8639
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8611
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時(shí)發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。
聯(lián)系方式: cnnvd@itsec.gov.cn