[資訊]微軟於補丁日修復了 20 個嚴重漏洞(11.16)

CCkicker發表於2017-11-16

微軟於補丁日修復了 20 個嚴重漏洞

0.jpg

 

在週二的補丁日中,微軟總共修復了 53 個漏洞。其中,大部分為遠端程式碼執行錯誤,對應的補丁程式佔到了 25 個,另外,此次被評定為嚴重的漏洞有 20 個。

 

值得注意的是,這些漏洞中已經被利用的有 4 個,分別對應 CVE-2017-11848CVE-2017-11827CVE-2017-11883CVE-2017-8700。不過,據 Qualys 的分析,這 4 個漏洞尚未被駭客用於具體的攻擊活動。

 

針對這一輪的補丁,安全專家表示,使用者應優先修復存在於 Microsoft Edge 和 Internet Explorer 11 指令碼引擎中的漏洞,Windows 10、Windows 8.1、Windows 7 和 Windows Server(1709)系統都受此影響。

 

“瀏覽器指令碼引擎在處理記憶體中的物件時存在一處錯誤,可能會破壞記憶體,從而使得攻擊者可以在當前使用者的上下文中執行任意程式碼。” 微軟在公告中提到,對應的漏洞編號為 CVE-2017-11836CVE-2017-11837CVE-2017-11838CVE-2017-11839CVE-2017-11871CVE-2017-11873。如果利用成功,那麼攻擊者可以獲得與當前使用者相同的許可權。而在基於瀏覽頁面的攻擊方案中,惡意者可以搭建一個精心構造的網站並誘使使用者訪問,如果是透過受影響的瀏覽器訪問網站,則會觸發此漏洞。

 

同時,Zero Day Initiative 的研究人員表示,在發現的這些嚴重漏洞中,還包括了一些安全防護措施繞過的錯誤。其中,CVE-2017-11830 的補丁用於修復 Device Guard 安全功能繞過錯誤,該漏洞使得惡意檔案也能被系統所信任。而 CVE-2017-11877 的補丁則用於修復 Excel 的安全功能繞過錯誤,該漏洞會使得預設的宏設定失效。

 

CVE-2017-11830 能讓 Device Guard 在認證檔案時產生錯誤,這意味著攻擊者能夠直接使用未簽名的惡意檔案。由於 Device Guard 依靠簽名來判斷檔案是否可信,因此透過該漏洞讓那些原本不可信的檔案看起來是可信的,就能夠達到執行惡意檔案的目的,這正是惡意軟體開發者一直所夢寐以求的漏洞。” ZDI 補充道。

 

釋出的補丁中還包含一個與 Office 安全性相關的建議(ADV170020)。Zero Day Initiative 的研究人員解釋道:“ADV170020 很可能與 DDE 被惡意軟體濫用有關,這個建議有助於限制攻擊者對 DDE 進行濫用的行為。” 儘管有大量針對 Office 的攻擊利用到了 DDE,但微軟始終堅持 DDE 屬於產品特性而不是漏洞。

 

另據 Rapid7 的高階安全研究員 Greg Wiseman 表示,此次補丁日中微軟還對一些開源專案進行了修復。Wiseman 介紹說:“Edge 瀏覽器中與 ChakraCore,即 Edge 瀏覽器中開源的 JavaScript 引擎,相關的 16 處漏洞也均已得到修復。” 此外,還修復了針對 .NET Core 的拒絕服務(DoS)漏洞(CVE-2017-11770),針對 ASP.NET Core 的 DoS(CVE-2017-11883)、許可權提升(CVE-2017-11879)漏洞 ,以及資訊洩露漏洞(CVE-2017-8700)。

 

最後,Qualys 提醒:“對於 Office 記憶體損壞漏洞(CVE-2017-11882,漏洞級別為嚴重)的修復也是要優先考慮的,坊間可能存在這個漏洞的 PoC 程式碼(相關的 WhitePaper),因此建議使用者也要對 Office 進行更新。”

 

原文連結:https://threatpost.com/microsoft-patches-20-critical-vulnerabilities/128891/

 

本文由看雪翻譯小組 BDomne 編譯


安全-瀏覽外掛從Facebook和LinkedIn獲取聯絡資訊

chrome 網上商店推出了一個新的Chrome擴充套件程式--安全-瀏覽,為了讓使用者能夠安全地搜尋。但是它偷偷地記錄下來你的LinkedIn和Facebook帳戶,並將你的姓名、電子郵件地址、性別、手機號碼和地址傳送到遠端伺服器。

 

外掛透過誤導性的廣告進行宣傳

安全-瀏覽透過網站進行推廣,網站上顯示誤導性的廣告訊息,如“警告!安全漏洞”。不僅如此,他們還去推廣Chrome擴充套件程式,理應讓你的瀏覽器“再次安全”。比如說就像下面這個廣告:

 

 

誤導性廣告

 

一旦使用者點選新增按鈕,它會顯示一個小提示安裝擴充套件程式。

抓取你的Facebook和LinkedIn聯絡方式

當安裝擴充套件程式後,它會連線到後端伺服器,URL為 https://backend.chupashop.com/getuid4search。伺服器將以與此特定Chrome使用者相關聯的UID或使用者ID進行響應,並將用於每個後續請求。

 


使用者註冊並獲得一個UID

 

然後擴充套件從附帶的crawl.json檔案中讀取一組規則,規則包含一系列URL和關聯的正規表示式,用於從特定URL中提取資訊。您可以在下面看到一部分crawl.json規則檔案。

 

 

Crawl.json規則檔案

 

網址列表和從每個網址中提取的資訊:

網址 提取的資訊
http://www.facebook.com/me/about 名字、姓氏、出生日期
https://www.facebook.com/me/about?section=contact-info 性別、地址
https://www.facebook.com/settings 電子郵件地址
https://www.facebook.com/settings?tab=mobile 行動電話
http://www.linkedin.com/psettings/email 電子郵件地址
https://www.linkedin.com/profile/edit-basic-info 姓氏、名字
 

一旦檢索到所需的資訊,它將再次連線到後端伺服器,並將此資訊上傳到開發人員。

 

 

上傳電子郵件

 

 

上傳地址和性別

 

目前還不清楚開發人員使用這些資訊來做什麼,但是,這些資訊可能以各種方式利用,比如垃圾電子郵件和郵政營銷以及網路釣魚等等。

它的搜尋功能如何呢?

安全-瀏覽外掛聲稱會讓你的搜尋引擎更安全,我不知道它是如何實現的,但是當您從位址列或使用Google,MyWebSearch,Bing,MSN,Ask,WoW,MyWay,AOL和SearchLock瀏覽時,確實會導致搜尋重定向。

 

安裝後,會在搜尋引擎的搜尋表單中出現一個小的鎖,如下所示。

 

 

使用者執行搜尋時,首先會將搜尋傳送到http://www.browse-secure.com/search?a=[extension_id]&q=[search_query],然後重定向回Google。這允許開發者跟蹤查詢和相關的IP地址。

Chrome使用者需要格外留意擴充套件程式

對於所有Chrome使用者來說,要非常小心地使用透過網站宣傳的擴充套件程式,這些網站使用的資訊聲稱他們可以保護您的計算機,使瀏覽更加安全和匿名,或提供“增強”搜尋功能。這些擴充套件大部分只是跟蹤您的搜尋,注入廣告或將你重定向到合作伙伴網站來產生廣告收入。

 

將擴充套件用於更加惡意的目的也很常見,例如注入加密貨幣的挖礦程式,上面提到的竊取聯絡人資訊,以及將您重新註冊為域名註冊方案

 

因此,Chrome使用者在訪問“Chrome網上應用店”頁面之前不應安裝任何擴充套件程式,並閱讀相關評論並進行調查,看看它是否值得信賴。

 

原文連結:

 

本文由看雪翻譯小組fyb波編譯

相關文章