微軟於補丁日修復了 20 個嚴重漏洞

在週二的補丁日中，微軟總共修復了 53 個漏洞。其中，大部分為遠端程式碼執行錯誤，對應的補丁程式佔到了 25 個，另外，此次被評定為嚴重的漏洞有 20 個。

值得注意的是，這些漏洞中已經被利用的有 4 個，分別對應 CVE-2017-11848、CVE-2017-11827、CVE-2017-11883 和 CVE-2017-8700。不過，據 Qualys 的分析，這 4 個漏洞尚未被黑客用於具體的攻擊活動。

針對這一輪的補丁，安全專家表示，使用者應優先修復存在於 Microsoft Edge 和 Internet Explorer 11 指令碼引擎中的漏洞，Windows 10、Windows 8.1、Windows 7 和 Windows Server（1709）系統都受此影響。

“瀏覽器指令碼引擎在處理記憶體中的物件時存在一處錯誤，可能會破壞記憶體，從而使得攻擊者可以在當前使用者的上下文中執行任意程式碼。” 微軟在公告中提到，對應的漏洞編號為 CVE-2017-11836、CVE-2017-11837、CVE-2017-11838、CVE-2017-11839、CVE-2017-11871 和 CVE-2017-11873。如果利用成功，那麼攻擊者可以獲得與當前使用者相同的許可權。而在基於瀏覽頁面的攻擊方案中，惡意者可以搭建一個精心構造的網站並誘使使用者訪問，如果是通過受影響的瀏覽器訪問網站，則會觸發此漏洞。

同時，Zero Day Initiative 的研究人員表示，在發現的這些嚴重漏洞中，還包括了一些安全防護措施繞過的錯誤。其中，CVE-2017-11830 的補丁用於修復 Device Guard 安全功能繞過錯誤，該漏洞使得惡意檔案也能被系統所信任。而 CVE-2017-11877 的補丁則用於修復 Excel 的安全功能繞過錯誤，該漏洞會使得預設的巨集設定失效。

“CVE-2017-11830 能讓 Device Guard 在認證檔案時產生錯誤，這意味著攻擊者能夠直接使用未簽名的惡意檔案。由於 Device Guard 依靠簽名來判斷檔案是否可信，因此通過該漏洞讓那些原本不可信的檔案看起來是可信的，就能夠達到執行惡意檔案的目的，這正是惡意軟體開發者一直所夢寐以求的漏洞。” ZDI 補充道。

釋出的補丁中還包含一個與 Office 安全性相關的建議（ADV170020）。Zero Day Initiative 的研究人員解釋道：“ADV170020 很可能與 DDE 被惡意軟體濫用有關，這個建議有助於限制攻擊者對 DDE 進行濫用的行為。” 儘管有大量針對 Office 的攻擊利用到了 DDE，但微軟始終堅持 DDE 屬於產品特性而不是漏洞。

另據 Rapid7 的高階安全研究員 Greg Wiseman 表示，此次補丁日中微軟還對一些開源專案進行了修復。Wiseman 介紹說：“Edge 瀏覽器中與 ChakraCore，即 Edge 瀏覽器中開源的 JavaScript 引擎，相關的 16 處漏洞也均已得到修復。” 此外，還修復了針對 .NET Core 的拒絕服務（DoS）漏洞（CVE-2017-11770），針對 ASP.NET Core 的 DoS（CVE-2017-11883）、許可權提升（CVE-2017-11879）漏洞 ，以及資訊洩露漏洞（CVE-2017-8700）。

最後，Qualys 提醒：“對於 Office 記憶體損壞漏洞（CVE-2017-11882，漏洞級別為嚴重）的修復也是要優先考慮的，坊間可能存在這個漏洞的 PoC 程式碼（相關的 WhitePaper），因此建議使用者也要對 Office 進行更新。”

原文連結：https://threatpost.com/microsoft-patches-20-critical-vulnerabilities/128891/

本文由看雪翻譯小組 BDomne 編譯

---

安全-瀏覽外掛從Facebook和LinkedIn獲取聯絡資訊

chrome 網上商店推出了一個新的Chrome擴充套件程式--安全-瀏覽，為了讓使用者能夠安全地搜尋。但是它偷偷地記錄下來你的LinkedIn和Facebook帳戶，並將你的姓名、電子郵件地址、性別、手機號碼和地址傳送到遠端伺服器。

外掛通過誤導性的廣告進行宣傳

安全-瀏覽通過網站進行推廣，網站上顯示誤導性的廣告訊息，如“警告！安全漏洞”。不僅如此，他們還去推廣Chrome擴充套件程式，理應讓你的瀏覽器“再次安全”。比如說就像下面這個廣告：

誤導性廣告

一旦使用者點選新增按鈕，它會顯示一個小提示安裝擴充套件程式。

抓取你的Facebook和LinkedIn聯絡方式

當安裝擴充套件程式後，它會連線到後端伺服器，URL為 https://backend.chupashop.com/getuid4search。伺服器將以與此特定Chrome使用者相關聯的UID或使用者ID進行響應，並將用於每個後續請求。

使用者註冊並獲得一個UID

然後擴充套件從附帶的crawl.json檔案中讀取一組規則，規則包含一系列URL和關聯的正規表示式，用於從特定URL中提取資訊。您可以在下面看到一部分crawl.json規則檔案。

Crawl.json規則檔案

網址列表和從每個網址中提取的資訊：

網址	提取的資訊
http://www.facebook.com/me/about	名字、姓氏、出生日期
https://www.facebook.com/me/about?section=contact-info	性別、地址
https://www.facebook.com/settings	電子郵件地址
https://www.facebook.com/settings?tab=mobile	行動電話
http://www.linkedin.com/psettings/email	電子郵件地址
https://www.linkedin.com/profile/edit-basic-info	姓氏、名字

一旦檢索到所需的資訊，它將再次連線到後端伺服器，並將此資訊上傳到開發人員。

上傳電子郵件

上傳地址和性別

目前還不清楚開發人員使用這些資訊來做什麼，但是，這些資訊可能以各種方式利用，比如垃圾電子郵件和郵政營銷以及網路釣魚等等。

它的搜尋功能如何呢？

安全-瀏覽外掛聲稱會讓你的搜尋引擎更安全，我不知道它是如何實現的，但是當您從位址列或使用Google，MyWebSearch，Bing，MSN，Ask，WoW，MyWay，AOL和SearchLock瀏覽時，確實會導致搜尋重定向。

安裝後，會在搜尋引擎的搜尋表單中出現一個小的鎖，如下所示。

使用者執行搜尋時，首先會將搜尋傳送到http://www.browse-secure.com/search?a=[extension_id]&q=[search_query]，然後重定向回Google。這允許開發者跟蹤查詢和相關的IP地址。

Chrome使用者需要格外留意擴充套件程式

對於所有Chrome使用者來說，要非常小心地使用通過網站宣傳的擴充套件程式，這些網站使用的資訊聲稱他們可以保護您的計算機，使瀏覽更加安全和匿名，或提供“增強”搜尋功能。這些擴充套件大部分只是跟蹤您的搜尋，注入廣告或將你重定向到合作伙伴網站來產生廣告收入。

將擴充套件用於更加惡意的目的也很常見，例如注入加密貨幣的挖礦程式，上面提到的竊取聯絡人資訊，以及將您重新註冊為域名註冊方案。

因此，Chrome使用者在訪問“Chrome網上應用店”頁面之前不應安裝任何擴充套件程式，並閱讀相關評論並進行調查，看看它是否值得信賴。

原文連結:

本文由看雪翻譯小組fyb波編譯