微软在12月补丁周二修正的零日漏洞

作为其12月补丁周二更新的一部分，微软已经修补了一个零日漏洞，该漏洞主动用于旧版本的Windows操作系统。

根据该软件巨头的说法，该漏洞（ CVE-2018-8611 ）是一个特权提升（EoP）错误，它通过服务器2019影响Windows 7.它的CVSS评级为7，将其归类为高严重性漏洞。

据微软称，当Windows内核无法正确处理内存中的对象时，会触发EoP。 “成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后攻击者可以安装程序; 查看，更改或删除数据; 或创建具有完全用户权限的新帐户，“微软在其12月补丁周二公告中写道。

但是，“攻击者首先必须登录系统，然后运行一个特制的应用程序来控制受影响的系统，”Ivanti安全产品管理总监Chris Goettl说。

除了零日漏洞之外，微软还修补了9个重要漏洞和30个漏洞，这些漏洞影响了Internet Explorer，Edge，ChackraCore，Microsoft Windows，Office和Microsoft Office Services和Web Apps以及.NET等一系列Microsoft产品。框架。

根据安全公告，其中一个（ CVE-2018-8517 ）值得注意，因为它在周二发布的预定更新之前公开，但未被利用。 该漏洞是.NET框架拒绝服务漏洞。

“远程未经身份验证的攻击者可以通过向.NET Framework应用程序发出特制请求来利用此漏洞，”微软写道。 “该漏洞可以远程利用，无需身份验证。”

九个关键漏洞中有五个与微软的Chakra脚本引擎相关联，这是一个为Edge网络浏览器开发的JavaScript引擎。 每个缺陷都是内存破坏错误，允许攻击者在用户会话期间执行任意代码，提升用户权限并最终控制受影响的系统。

“浏览器和脚本引擎补丁应优先用于工作站类设备，这意味着任何用于电子邮件或通过浏览器访问互联网的系统，”Qualys 在其补丁周二评论中提出建议。 “这包括用作用户远程桌面的多用户服务器。 在9个关键漏洞中，有6个可以通过浏览器进行攻击。“

另一个值得注意的远程代码执行错误CVE-2018-8634 （评级为重要）会影响微软的文本到语音引擎。

“由于几个不同的原因，这个补丁很有意思。 首先，像文本转语音这样的新功能在某种程度上是未知的攻击面，“Zero Day Initiative认证的信息系统安全专家Dustin Childs在分析中写道。

“这不是第一个文本到语音相关的错误 - 几年前Android有一个 - 但它肯定不常见，”他补充说。 “其次，Microsoft没有说明示例漏洞利用场景，但由于生成语音需要向语音服务发出HTTP POST请求，因此如果您的应用程序面向网络，则可以远程访问。 无论哪种方式，如果你使用文本到语音，不要忽视这个补丁。“

总而言之，微软修补的39个漏洞代表了一个月内要解决的漏洞数量相对较少，特别是与周二Adobe报告的87个漏洞相比。