微軟在十二月週二補丁日中更新修復了34個bug

微軟在十二月週二補丁日[^1]中更新修復了34個bug。 共有20個漏洞被評為嚴重漏洞，另外12個被評為高危漏洞。 受影響的是Internet Explorer，Microsoft Edge，Microsoft Windows，Microsoft Office，SharePoint和Exchange。

值得注意的是影響了Microsoft惡意軟體保護引擎（MPE）的兩個補丁（CVE-2017-11937和CVE-2017-11940）包括（ CVE-2017-11937和CVE-2017-11940 ）。這兩個遠端程式碼執行漏洞是在上週被英國國家網路安全中心的研究人員發現了。目前這兩個漏洞打了補丁。

Rapid7高階安全研究員Greg Wiseman表示：“這些MPE漏洞也影響Exchange Server，所以伺服器後端管理員在這個月也還有一些工作要做。

“這個月最大的漏洞是與Internet Explorer有關。Ivanov產品經理Chris Goettl表示：“本月超過一半的CVE影響的是IE和Edge。在34個漏洞中，超過二十個被歸類為影響Microsoft瀏覽器的“指令碼引擎記憶體破壞（corruption ）漏洞”。

指令碼引擎記憶體破壞漏洞（CVE-2017-11907）是一個遠端程式碼執行的bug，這個bug會在當IE不正確地訪問記憶體中的物件時顯現出來。 微軟表示：“攻擊者可以託管一個被精心設計的利用了Internet Explorer中的漏洞的站點，然後誘使使用者訪問該網站。” 攻擊者成功利用漏洞後，攻擊者可以獲得與當前使用者相同的使用者許可權。

“並不需要複雜的社會工程手段來誘使大多數使用者訪問一個惡意的網頁，或者一個合法的，但是被設計過的網站（水坑攻擊）。 如果使用者使用Internet Explorer或Edge的未打補丁版本進行瀏覽，那麼攻擊者就可以執行任意程式碼。 如果使用者擁有管理員許可權，那麼就完蛋了，因為這時攻擊者可以完全控制系統，“Wiseman說。

安全專家還建議管理員優先考慮給Microsoft Office 2016的Microsoft Excel遠端執行程式碼漏洞（CVE-2017-11935）打上補丁。根據CVE的描述，“這是由於Microsoft Office在分析被精心構造過的檔案時不正確地處理記憶體物件造成的”。 根據CVE的記載，遠端攻擊者可以透過誘使受害者開啟被精心構造過的檔案來利用此漏洞。

“這個漏洞給了攻擊者對系統的完全控制權。 我只需要說服別人開啟附件，或者到我特製的網站上下載一些內容就可以了。“Goettl說。 “（實驗）今天的點選率很高。 看來使用者仍然是最薄弱的安全環節。我說這個漏洞是最有可能在本月被利用的。”。

微軟表示，週二補丁日安全公告中沒有任何安全漏洞已被公開披露或利用。

與此同時，Zero Day Initiative的研究人員建議特別關注Windows資訊洩露漏洞（CVE-2017-11927）ZDI在一篇部落格文章中指出。“這個bug使我們完全回到Internet Explorer和CHM（壓縮幫助）檔案的早期階段。這個補丁解決了Windows的its://協議處理程式中的資訊洩露問題。”。

微軟將資訊洩漏漏洞描述為當Windows的its://協議處理程式“為了獲知URL的zone[^2]而不必要地將流量傳送到遠端站點”時存在的缺陷。這樣做可能會無意中將敏感的使用者資訊暴露給惡意網站。

微軟說到：“成功欺騙使用者披露使用者的NTLM雜湊值後，攻擊者可能試圖透過暴力破解來嘗試恢復相應的雜湊密碼。

來源：threatpost

本文由看雪翻譯小組 knowit 編譯