返回

微软发布了16个关键缺陷的修补程序,包括一个零日补丁

发布时间:2022-09-25 22:20:40 405
# 漏洞# 软件# 黑客# 软件# 缺陷
Microsoft Issues Security Patches Critical Vulnerabilities


微软于周二发布了2018年的第一个补丁,以解决CVE列出的56个缺陷,包括MS Office中的一个零日漏洞,该漏洞已被多个野生威胁组织积极利用。

其中16个安全更新被列为关键更新,38个被列为重要更新,一个被列为中等更新,一个被列为低严重更新。这些更新解决了Windows、Office、Internet Explorer、Edge、ChakraCore和ASP中的安全漏洞。NET和。NET框架。

微软将零日漏洞(CVE-2018-0802)描述为Office中的内存损坏漏洞,在过去几个月里,该漏洞已成为多个威胁参与者组织的攻击目标。

来自中国公司腾讯和奇虎360、ACROS Security的0Patch团队以及Check Point软件技术的几位研究人员发现了该漏洞,通过诱骗目标用户在MS Office或写字板中打开精心编制的恶意Word文件,可以利用该漏洞进行远程代码执行。

据该公司称,该安全漏洞与CVE-2017-11882—有关;等式编辑器功能(EQNEDT32.EXE)中存在一个17年的漏洞,微软在11月解决了该漏洞。

0Patch的研究人员在分析CVE-2017-11882时,发现了一个新的相关漏洞(CVE-2018-0802)。有关CVE-2018-0802的更多详细信息,请参阅Check Point发布的博客文章。

除CVE-2018-0802外,该公司还解决了MS Office中另外九个远程代码执行和内存泄露漏洞。

微软Outlook for MAC中的一个欺骗漏洞(CVE-2018-0819)已被列为公开披露(Mailsploit攻击),该公司也解决了该漏洞。该漏洞不允许Outlook for Mac的某些版本正确处理电子邮件地址的编码和显示,导致防病毒或反垃圾邮件扫描无法正常工作。

Microsoft还解决了中的证书验证绕过漏洞(CVE-2018-0786)。NET框架(和.NET Core),该框架允许恶意软件作者将其无效证书显示为有效。

“攻击者可能会提供一个标记为无效的证书,用于特定用途,但组件会将其用于该目的,”Microsoft描述。“此操作忽略增强的密钥使用标记。”

该公司还修补了Microsoft Edge和Internet Explorer使用的脚本引擎中总共15个漏洞。

通过诱骗目标用户打开一个精心制作的网页,触发内存损坏错误,可以利用所有这些漏洞进行远程代码执行,尽管这些漏洞尚未在野外被利用。

与此同时,Adobe已于本月修补了一个单一的越界读取漏洞(CVE-2018-4871),该漏洞可能会导致信息泄露,但目前还没有发现任何活跃的漏洞。

强烈建议用户尽快应用安全补丁,以防止黑客和网络犯罪分子控制他们的计算机。

要安装安全更新,只需进入设置→;更新及;安全和#8594;Windows Update→;检查更新,或者手动安装更新。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线