开发者社区> 问答> 正文

【漏洞公告】微软“周二补丁日”—2018年08月

美国时间2018年8月14日,微软针对已在各种产品中发现并解决的漏洞发布了每月一次的安全公告。本月的公告版本涉及62个新漏洞,其中20个被评为“关键”,38个被评为“重要”,38个被评为“中等”,一个被评为低等级。这些漏洞会影响Windows操作系统,Edge和Internet Explorer以及其他一些产品。

除了上面提到的60个漏洞之外,Microsoft还发布了一个关键更新公告ADV180020,它解决了Adobe Flash安全公告APSB18-25中描述的漏洞。

关键漏洞

本月,微软正在解决20个被评为“关键”的漏洞。 Talos认为其中10个是值得注意的,需要立即引起注意。


CVE-2018-8273是Microsoft SQL Server中的远程执行代码漏洞,可能允许成功利用此漏洞的攻击者在SQL Server数据库引擎服务帐户的上下文中执行代码。

CVE-2018-8302是Microsoft Exchange电子邮件和日历软件中的远程执行代码漏洞,当软件无法正确处理内存中的对象时,该漏洞可能允许成功利用此漏洞的攻击者在系统用户的上下文中运行任意代码。

CVE-2018-8344是Windows字体库不正确地处理特制嵌入字体时存在的远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。可以通过多种方式利用此漏洞。通过利用基于Web的攻击,攻击者可以诱使用户访问专门利用此漏洞的网页。这可以是攻击者控制的网页,也可以是托管外部内容的页面,例如广告。攻击者还可以提供旨在利用此漏洞的特制文档,然后诱使用户打开文档文件。

CVE-2018-8350是一个远程执行代码漏洞,当Microsoft Windows PDF Library不正确地处理内存中的对象时存在该漏洞。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。只需在Microsoft Edge设置为默认浏览器的Windows 10系统上查看托管恶意PDF文件的网站,即可利用此漏洞。在其他不会自动呈现PDF内容的受影响系统上,攻击者必须说服用户打开特制的PDF文档,例如电子邮件的PDF附件。

CVE-2018-8266,CVE-2018-8355,CVE-2018-8380,CVE-2018-8381和CVE-2018-8384是远程代码执行漏洞,以Chakra脚本引擎处理Microsoft内存中对象的方式存在边缘。成功利用此漏洞的攻击者可能获得与当前用户相同的用户权限。在基于Web的攻击中可以利用此漏洞,在该攻击中,用户被说服访问专门利用此漏洞的网页。这可以是攻击者控制的网页,也可以是托管外部内容的页面,例如广告。

CVE-2018-8397是一个远程执行代码漏洞,它以Windows图形设备接口(GDI)处理内存中对象的方式存在。成功利用此漏洞的攻击者可以控制受影响的系统。可以通过多种方式利用此漏洞。通过利用基于Web的攻击,攻击者可以诱使用户访问专门利用此漏洞的网页。这可以是攻击者控制的网页,也可以是托管外部内容的页面,例如广告。攻击者还可以提供旨在利用此漏洞的特制文档文件,然后诱使用户打开文档文件。
其他被视为“关键”的漏洞如下:

  • CVE-2018-8345 LNK远程执行代码漏洞
  • CVE-2018-8359脚本引擎内存损坏漏洞
  • CVE-2018-8371脚本引擎内存损坏漏洞
  • CVE-2018-8372脚本引擎内存损坏漏洞
  • CVE-2018-8373脚本引擎内存损坏漏洞
  • CVE-2018-8377 Microsoft边缘内存损坏漏洞
  • CVE-2018-8385脚本引擎内存损坏漏洞
  • CVE-2018-8387 Microsoft边缘内存损坏漏洞
  • CVE-2018-8390脚本引擎内存损坏漏洞
  • CVE-2018-8403 Microsoft浏览器内存损坏漏洞

重要的漏洞

本月,微软正在解决被评为“重要”的38个漏洞。 Talos相信其中两个是值得注意的,需要立即引起注意。


CVE-2018-8200是Device Guard中存在的漏洞,可能允许攻击者将恶意代码注入Windows PowerShell会话。成功利用此漏洞的攻击者可能会将代码注入受信任的PowerShell进程,以绕过本地计算机上的Device Guard代码完整性策略。要利用此漏洞,攻击者首先必须访问本地计算机,然后将恶意代码注入受策略信任的脚本中。然后,注入的代码将以与脚本相同的信任级别运行并绕过策略。


CVE-2018-8340是Windows身份验证方法中的漏洞,它启用了Active Directory联合身份验证服务(AD FS)安全绕过漏洞。成功利用此漏洞的攻击者可以绕过一些但不是全部的身份验证因素。


其他被视为“重要”的漏洞如下:
  • CVE-2018-0952诊断中心标准收集器特权提升漏洞
  • CVE-2018-8204 Device Guard代码完整性策略安全功能绕过漏洞
  • CVE-2018-8253 Cortana特权提升漏洞
  • CVE-2018-8316 Internet Explorer远程执行代码漏洞
  • CVE-2018-8339 Windows Installer特权提升漏洞
  • CVE-2018-8341 Windows内核信息泄露漏洞
  • CVE-2018-8342 Windows NDIS特权提升漏洞
  • CVE-2018-8343 Windows NDIS特权提升漏洞
  • CVE-2018-8346 LNK远程执行代码漏洞
  • CVE-2018-8347 Windows内核特权提升漏洞
  • CVE-2018-8348 Windows内核信息泄露漏洞
  • CVE-2018-8349 Microsoft COM for Windows远程执行代码漏洞
  • CVE-2018-8351 Microsoft Edge信息泄露漏洞
  • CVE-2018-8353脚本引擎内存损坏漏洞
  • CVE-2018-8357 Microsoft浏览器特权提升漏洞
  • CVE-2018-8358 Microsoft浏览器安全功能绕过漏洞
  • CVE-2018-8360 .NET Framework信息泄露漏洞
  • CVE-2018-8370 Microsoft Edge信息泄露漏洞
  • CVE-2018-8375 Microsoft Excel远程执行代码漏洞
  • CVE-2018-8376 Microsoft PowerPoint远程执行代码漏洞
  • CVE-2018-8378 Microsoft Office信息泄露漏洞
  • CVE-2018-8379 Microsoft Excel远程执行代码漏洞
  • CVE-2018-8382 Microsoft Excel信息泄露漏洞
  • CVE-2018-8383 Microsoft Edge欺骗漏洞
  • CVE-2018-8389脚本引擎内存损坏漏洞
  • CVE-2018-8394 Windows GDI信息泄露漏洞
  • CVE-2018-8396 Windows GDI信息泄露漏洞
  • CVE-2018-8398 Windows GDI信息泄露漏洞
  • CVE-2018-8399 Win32k特权提升漏洞
  • CVE-2018-8400 DirectX图形内核特权提升漏洞
  • CVE-2018-8401 DirectX图形内核特权提升漏洞
  • CVE-2018-8404 Win32k特权提升漏洞
  • CVE-2018-8405 DirectX图形内核特权提升漏洞
  • CVE-2018-8406 DirectX图形内核特权提升漏洞
  • CVE-2018-8412 Microsoft(MAU)Office特权提升漏洞
  • CVE-2018-8414 Windows Shell远程执行代码漏洞

情报来源: https://blog.talosintelligence.com/2018/08/ms-tuesday.html

展开
收起
正禾 2018-08-20 18:03:03 17572 0
9 条回答
写回答
取消 提交回答
  • Re【漏洞公告】微软“周二补丁日”—2018年08月
        
    2019-04-15 09:16:45
    赞同 展开评论 打赏
  • 第三方三
    所发生的发
    2018-12-26 22:35:23
    赞同 展开评论 打赏
  • Re【漏洞公告】微软“周二补丁日”—2018年08月
    这些漏洞必须修复吗?
    2018-12-11 17:30:24
    赞同 展开评论 打赏
  • Re【漏洞公告】微软“周二补丁日”—2018年08月
    不错哦!
    2018-12-02 18:10:51
    赞同 展开评论 打赏
  • 一个懂点编程,懂点硬件的人
    Re【漏洞公告】微软“周二补丁日”—2018年08月
    打这些补丁得花多长时间啊
    2018-11-11 17:44:06
    赞同 展开评论 打赏
  • Re【漏洞公告】微软“周二补丁日”—2018年08月
    这些补丁都要打么?
    2018-11-05 23:17:12
    赞同 展开评论 打赏
  • Re【漏洞公告】微软“周二补丁日”—2018年08月asdas dsa dasd
    asdas dasdasdasdasdasdasdad

    -------------------------

    Re【漏洞公告】微软“周二补丁日”—2018年08月
    ADS啊的ADS 阿打算
    2018-10-12 16:17:26
    赞同 展开评论 打赏
  • 想得却不可得 你奈人生何 该舍的舍不得 只顾着跟往事瞎扯 等你发现时间是贼了 它早已偷光你的选择
    Re【漏洞公告】微软“周二补丁日”—2018年08月
    每次看到微软的补丁包,系统盘都会瑟瑟发抖  
    2018-09-18 17:02:49
    赞同 展开评论 打赏
  • 这些补丁都要打么?


    2018-09-07 12:40:05
    赞同 展开评论 打赏
滑动查看更多
问答排行榜
最热
最新

相关电子书

更多
代码未写,漏洞已出 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载