漏洞预警 | 微软Patch Tuesday修复三则重要漏洞

摘要

MS-Patch-Tuesday.png

微软在Patch Tuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、Internet Explorer、Microsoft Edge、ASP.NET Core、.NET Core以及Chackra Core浏览器引擎。这其中包括三枚重要的漏洞,Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),Microsoft Excel安全功能绕过漏洞(CVE-2017-11877)。

Windows EOT字体引擎信息泄露漏洞

漏洞编号

CVE-2017-11832

漏洞等级

重要

影响范围

Windows 7

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

漏洞细节

Windows 嵌入式OpenType(EOT)字体引擎在解析嵌入字体时存在漏洞。攻击者能够利用这个漏洞读取敏感数据。此漏洞不能让攻击者直接执行代码或者提升权限,但可以获取信息以进一步攻击系统。

要利用漏洞,攻击者需要登录到系统,并打开构造的字体。

安全更新修复了Windows EOT字体引擎处理嵌入字体的问题。

Windows内核信息泄露漏洞

漏洞编号

CVE-2017-11853

漏洞等级

重要

影响范围

Windows 10

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

漏洞细节

Windows内核未能合理初始化内存地址导致信息泄露漏洞。攻击者利用成功后可以获取信息,用来进一步攻击用户系统。

要利用漏洞,攻击者需要登录系统,运行构造的软件。

安全更新修复了Windows内核初始化内存的问题。

Microsoft Excel安全功能绕过漏洞

漏洞编号

CVE-2017-11877

漏洞等级

重要

影响范围

Microsoft Excel 2007 Service Pack 3

Microsoft Excel 2010 Service Pack 2

Microsoft Excel 2013 RT Service Pack 1

Microsoft Excel 2013 Service Pack 1

Microsoft Excel 2016

Microsoft Excel 2016 for Mac

Microsoft Excel Viewer 2007 Service Pack 3

Microsoft Office Compatibility Pack Service Pack 3

漏洞细节

Office软件中存在安全功能绕过漏洞,能够绕过强制的宏设置。要利用漏洞,攻击者必须在Excel表中制定要运行的宏。攻击者需要让用户用受影响的office软件打开特制的文件。安全更新通过强制宏设置修复了漏洞。

目前评论:0 条

发表评论