微軟11月補丁日,修復12個關鍵漏洞
隨著11月安全更新的釋出,微軟已經修復了64個漏洞,其中12個被標記為關鍵漏洞。
Windows 10 Build 1809升級中的許可權提升漏洞
此漏洞ID為CVE-2018-8592。從物理介質(USB,DVD等)安裝時,Windows 10版本1809中存在一個特權提升漏洞,在安裝過程中選擇了“Keep nothing"選項。
成功利用此漏洞可能使攻擊者獲得受影響系統的本地許可權。要利用此漏洞,攻擊者需要對受影響系統的控制檯進行物理訪問。
此次更新在安裝過程完成後,通過更改內建帳戶行為來解決漏洞。
修復了嚴重漏洞
星期二活動日(Patch Tuesday)修復了12個嚴重的安全漏洞,這些漏洞允許攻擊者遠端程式碼執行,並在易受攻擊的計算機上執行命令,從而實現完全控制計算機。
在12個嚴重漏洞中,其中8個位於Chakra指令碼引擎(Chakra Scripting Engine)中。
- CVE-2018-8476 - Windows部署服務TFTP伺服器遠端執行程式碼漏洞:
存在於Windows部署服務TFTP伺服器中的安全漏洞通過處理記憶體中物件的方式,成功利用此漏洞的攻擊者可以在目標系統上使用提升許可權執行任意程式碼。
- CVE-2018-8541 - Chakra指令碼引擎記憶體損壞漏洞:
cChakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞通過Microsoft Edge,通過特指網站或者廣告,也可能被利用。
- CVE-2018-8542 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞通過Microsoft Edge,通過特指網站或者廣告,也可能被利用。
- CVE-2018-8543 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞也可以通過Microsoft Edge,通過特製網站或廣告來利用。
目前,對於Windows Server 2016和2018,這被歸類為中等,但對於所有其他Windows版本,這是嚴重的。
- CVE-2018-8544 - Windows VBScript引擎遠端執行程式碼漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。
此漏洞也可以通過Microsoft Edge,通過特製網站或廣告來利用。攻擊者還可以在承載IE呈現引擎的應用程式或Microsoft Office文件中嵌入標記為“安全初始化”的ActiveX控制元件。
- CVE-2018-8551 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞也可以通過Microsoft Edge,通過特製網站或廣告來利用。
- CVE-2018-8553 - Microsoft圖形元件遠端執行程式碼漏洞:
Microsoft Graphics Components處理記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。成功利用此漏洞的攻擊者可以在目標系統上執行任意程式碼。要利用此漏洞,使用者必須開啟特製檔案。
- CVE-2018-8555 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞也可以通過Microsoft Edge,通過特製網站或廣告來利用。
- CVE-2018-8556 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞也可以通過Microsoft Edge,通過特製網站或廣告來利用。
- CVE-2018-8557 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞也可以通過Microsoft Edge,通過特製網站或廣告來利用。
- CVE-2018-8588 - Chakra指令碼引擎記憶體損壞漏洞:
Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式裡存在一個遠端執行程式碼漏洞。此漏洞也可以通過Microsoft Edge,通過特製的網站或廣告來利用。
目前,對於Windows Server 2016和2018,這被歸類為中等,但對於所有其他Windows版本,這是嚴重的。
- CVE-2018-8609 - Microsoft Dynamics 365(內部部署)版本8遠端執行程式碼漏洞:
當伺服器無法正確清理對受影響的Dynamics伺服器Web請求時,Microsoft Dynamics 365(內部部署)版本8中存在一個遠端執行程式碼漏洞。
成功利用此漏洞的攻擊者可以在SQL服務帳戶的上下文中執行任意程式碼。經過身份驗證的攻擊者可以通過向易受攻擊的Dynamics伺服器傳送特製請求來利用此漏洞。此安全更新通過更正Microsoft Dynamics 365(內部部署)版本8,驗證和清理使用者輸入的方式來解決漏洞。
2018年11月補丁 Patch Tuesday安全更新
以下是November2018 Patch Tuesday更新解決的漏洞完整列表。
參考來源:
- bleepingcomputer
- End -
更多資訊:
2、2018年 XDef安全峰會將於11月29-30日在武漢舉行,演講議題及入選參展作品資訊已釋出
4、Winklevoss兄弟起訴比特幣“第一重犯”Charlie Shrem
相關文章
- 修復Windows漏洞 微軟預釋出11個補丁(轉)Windows微軟
- [資訊]微軟於補丁日修復了 20 個嚴重漏洞(11.16)微軟
- 微軟三月補丁更新修復3個0day漏洞微軟
- (12.15)12月週二補丁日,微軟修復了20個嚴重漏洞,14個高危漏洞 ;全球10大網路間諜案件微軟
- 微軟下週將釋出三個補丁仍有漏洞未修復微軟
- 谷歌釋出11月Android安全補丁:共修復38處漏洞谷歌Android
- 谷歌釋出7月Android補丁 修復多個致命漏洞谷歌Android
- 微軟2019年12月星期二補丁修復36個漏洞,含正被野外積極利用的Win32k零日漏洞微軟Win32
- 最新!Adobe 釋出修復Flash Player關鍵漏洞的安全補丁
- 本月微軟補丁星期二共修復 115 個漏洞,其中 26 個標記為嚴重微軟
- 微軟補丁星期二:修復108個漏洞,含5個0day微軟
- Ubuntu釋出PHP重要補丁修復多個PHP漏洞UbuntuPHP
- 近期微軟將釋出三個關鍵補丁微軟
- 微軟釋出補丁:修復了遠端桌面元件中存在的兩個高危漏洞微軟元件
- 修復3個9.8分漏洞,微軟釋出12月累積更新微軟
- 微軟週二釋出12個漏洞補丁程式 4個為高危微軟
- 5月13日微軟補丁日變成“裸奔日”微軟
- 微軟5月補丁星期二修復111個漏洞;小米地震預警功能官方解讀;工信部查處關停違規1069簡訊埠微軟
- 蘋果釋出Mac OS X補丁 修復17個安全漏洞蘋果Mac
- Android 5月安全更新來了!修復42個漏洞:包括4個關鍵漏洞Android
- 修復6個0day漏洞,微軟11月累積更新發布微軟
- 微軟八月累積更新發布,修補DogWalk零日漏洞微軟
- 舊版iOS漏洞可能已被利用?蘋果釋出iOS 12.5.4修復補丁iOS蘋果
- 微軟9月累積更新,修復66個CVE漏洞微軟
- 微軟推送win8/8.1/10安全補丁KB4471331:修復flash Player的零日漏洞微軟
- 四大“白帽軍團”齊發威 微軟補丁日修56處漏洞微軟
- 微軟修復Bug的補丁產生了新的Bug微軟
- 微軟推送Win7/win8.1/win10補丁:修復Intel兩大漏洞微軟Win7Win10Intel
- 微軟釋出4月補丁:主要修復Win10/Edge瀏覽器/Office微軟Win10瀏覽器
- 微軟將釋出三個關鍵補丁,涉及Excel和.NET Framework微軟ExcelFramework
- 微軟7月累積更新來了!修復13個高危漏洞微軟
- 微軟10月累積更新,修復4個0day漏洞微軟
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 微軟修復了五個SandboxEscaper零日漏洞中的四個微軟
- 微軟11月補丁日:Win8.1/Win7迎來16枚安全更新微軟Win7
- Adobe Flash曝出零日漏洞 微軟緊急發補丁微軟
- 微軟為Windows 8.1/10系統推送Flash Player KB4477029補丁:修復安全漏洞微軟Windows
- 微軟漏洞被用於金融欺詐、VMware釋出漏洞補丁|2月16日全球網路安全熱點微軟