写点什么

必看:微软修复 74 个安全漏洞,包括 IE 零日漏洞

2019 年 11 月 13 日

必看:微软修复74个安全漏洞,包括IE零日漏洞

近日,微软发布了 2019 年 11 月的安全补丁更新,并修复 74 个影响微软各种产品的安全漏洞。



据悉,在 74 个漏洞中,有 13 个被标记为“严重”高危漏洞,其中 61 个被视为“重要”安全漏洞。


11 月的安全补丁包含以下软件的安全更新:


  • Windows 系统

  • 微软 IE 浏览器

  • 基于 EdgeHTML 的微软 Edge 浏览器

  • 跨平台 JS 引擎 ChakraCore

  • 微软 Office、Office 服务和 Web 移动应用

  • 开源软件

  • 消息与协作系统微软 Exchange Server

  • Visual Studio

  • Azure Stack


Google Project Zero 团队爆料的“高危”IE 零日漏洞

据了解,74 个漏洞中,影响最大的是 IE 零日远程代码执行漏洞,编号CVE-2019-1429。该漏洞可处理 IE 浏览器内存中的对象,并且其被攻击者广泛利用。


如果攻击者成功利用这个漏洞,它们可能破坏内存,并在当前用户上下文中执行任意代码。


危害更大的是,一旦用户以管理员身份登录系统,成功利用此漏洞的攻击者就能完全控制受影响的系统。如果攻击者获得访问权限,就可以安装程序、查看、更改或删除数据,甚至创建具有完整用户权限的新账户。


想想这些,真是可怕!


为实施攻击,攻击者可能设计一个通过 IE 浏览器利用该漏洞并诱使目标访问的网站。或者,它们可以在承载 IE 呈现引擎的应用程序或 Office 文档中嵌入一个标有“初始化安全”的 ActiveX 控件,并诱使他人打开。



后一种情况下,受害者不用 IE 浏览器也会中招,这意味着即使不依赖浏览器,你也应该打补丁。


该 IE 零日漏洞最先由 Google Project Zero 安全团队发现并报告。目前,该漏洞仍在广泛地被网络不法分子利用。


新的安全补丁通过更改 IE 浏览器脚本引擎处理内存中对象的方式,修复了该漏洞。Ivanti 安全产品管理总监 Chris Goettl 表示,“针对常见的网络钓鱼和以用户为目标的攻击方法的安全培训,可以进一步降低此漏洞的风险。但是,由于该漏洞已经是在野被利用,因此强烈建议快速发布补丁,从而彻底解决该漏洞。”


Hyper-V 和 Hyper-V 网络交换机的 4 个漏洞

据悉,微软还修补了 Hyper-V 和 Hyper-V 网络交换机中的四个重大漏洞,即CVE-2019-1389CVE-2019-1397CVE-2019-1398CVE-2019-0721


这些漏洞可以让来宾系统上经过身份验证的用户在主机上运行潜在的恶意代码。


“微软指出,利用这些漏洞的可能性较小,但仍应优先考虑所有 Hyper-V 系统的安全补丁。”Qualys 产品管理总监 Jimmy Graham 说。


同时,Microsoft Exchange中几个关键远程代码执行漏洞也得到修复,包括 CVE-2019-1373。如果攻击者成功利用此漏洞,那么他们可以在登录用户的上下文中运行任意代码。


而已经修复的另一个远程执行代码漏洞——CVE-2019-1426。该漏洞以脚本引擎处理微软 Edge 浏览器内存中对象的方式存在。该漏洞可能以一种攻击者在当前用户的上下文执行任意代码的方式来破坏内存。



此外,周二发布的安全补丁还包括非 CVE 漏洞更新,例如有关可信平台模块(TPM)芯片组中的漏洞更新。TPM Bug 是未与 Windows 操作系统连接的第三方错误。


自从零日漏洞受到主动攻击以来,微软强烈建议为所有 Windows 用户安装这些安全补丁,以避免安全风险并保护 Windows。


微软安全更新——严重漏洞列表:



2019 年 11 月 13 日 14:59830
用户头像
万佳 InfoQ编辑

发布了 534 篇内容, 共 195.1 次阅读, 收获喜欢 1307 次。

关注

评论

发布
暂无评论
发现更多内容

CDN百科 | 假如没有CDN,网络世界会变成什么样?

阿里云Edge Plus

原创 | 使用JUnit、AssertJ和Mockito编写单元测试和实践TDD (四)关于单元测试的常见错误观念和做法

编程道与术

Java 编程 软件测试 TDD 单元测试

工作两年简历写成这样,谁要你呀!

小傅哥

面试 小傅哥 Java 面试 简历优化 找工作

智浪

Neil

后浪 智能时代 智浪

想退休,可能没机会了

池建强

读书感悟

《Linux就该这么学》笔记(二)

编程随想曲

Linux

CDN云课堂 | EdgeRoutine技术专家教你把JS代码跑到CDN边缘

阿里云Edge Plus

Java CDN edge

反对996,但是选择996是一个怎样的矛盾心态?

顾强

职场 加班

原创 | 使用JUnit、AssertJ和Mockito编写单元测试和实践TDD (五)第一个单元测试

编程道与术

Java 编程 软件测试 TDD 单元测试

“字节”不断“跳动”,卡拉永远 OK?

无量靠谱

字节跳动 诺基亚 危机

业务信息化操作系统(BIOS)——中台的核心产出物

孤岛旭日

中台 操作系统 企业信息化

用SpreadJS实现在线Excel的录入与展示,提升企业医保信息化服务水平

Geek_Willie

SpreadJS 医保信息化 在线excel

我常用的在线工具清单

彭宏豪95

效率 效率工具 工具

交易上链——中心化数字资产交易所的完美解决之道

MaxHu

区块链 智能合约 数字货币 去中心化网络 数字资产

聊聊Serverless

kimmking

基于XGB单机训练VS基于SPARK并行预测(XGBoost4j-spark无痛人流解决方案)

黄崇远@数据虫巢

学习 算法

高效阅读,成就自我-《麦肯锡精英高效阅读法》读后感

顾强

读书笔记 读书 读书方式

你竞争我得利之零售变革

孙苏勇

行业资讯

MySQL数据类型DECIMAL用法

Simon

MySQL

CDN云课堂 |可编程CDN – EdgeScript应用场景、语言速览和实操演示

阿里云Edge Plus

算法工程师的发展路径

Lucien

认识数据产品经理(三 成为数据产品经理)

马踏飞机747

大数据 数据中台 数据分析 产品经理

爱是恒久忍耐,又有恩慈

泰稳@极客邦科技

身心健康 心理

Dubbo集成Sentinel实现限流

Java收录阁

sentinel

延时任务的几种实现方式

郭儿的跋涉

Java 延时任务 延时消息

通过一个聊天应用学习 Deno

寇云

typescript 后端

Spring 中不同依赖注入方式的对比与剖析

Deecyn

spring

借助第一性原理开启中台建设

数字圣杯

数据中台 数字化转型

CDN百科 | 最近,你的APP崩了吗?

阿里云Edge Plus

CDN

可视化 Tekton 组件 Tekton Dashboard

郭旭东

Kubernetes cicd

使用jdbcSstoragerHandler 处理mysql、oracle 、hive数据

杨飞

演讲经验交流会|ArchSummit 上海站

演讲经验交流会|ArchSummit 上海站

必看:微软修复74个安全漏洞,包括IE零日漏洞-InfoQ