微软Patch Tuesday修复三则重要漏洞

业界 作者:HackerEye 2017-11-16 03:45:36
微软在Patch Tuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、Internet Explorer、Microsoft Edge、ASP.NET Core、.NET Core以及Chackra Core浏览器引擎。这其中包括三枚重要的漏洞,Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),Microsoft Excel安全功能绕过漏洞(CVE-2017-11877)。 Windows EOT字体引擎信息泄露漏洞 漏洞编号 CVE-2017-11832 漏洞等级 重要 影响范围 Windows 7 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 漏洞细节 Windows 嵌入式OpenType(EOT)字体引擎在解析嵌入字体时存在漏洞。攻击者能够利用这个漏洞读取敏感数据。此漏洞不能让攻击者直接执行代码或者提升权限,但可以获取信息以进一步攻击系统。 要利用漏洞,攻击者需要登录到系统,并打开构造的字体。 安全更新修复了Windows EOT字体引擎处理嵌入字体的问题。 Windows内核信息泄露漏洞 漏洞编号 CVE-2017-11853 漏洞等级 重要 影响范围 Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 漏洞细节 Windows内核未能合理初始化内存地址导致信息泄露漏洞。攻击者利用成功后可以获取信息,用来进一步攻击用户系统。 要利用漏洞,攻击者需要登录系统,运行构造的软件。 安全更新修复了Windows内核初始化内存的问题。 Microsoft Excel安全功能绕过漏洞 漏洞编号 CVE-2017-11877 漏洞等级 重要 影响范围 Microsoft Excel 2007 Service Pack 3 Microsoft Excel 2010 Service Pack 2 Microsoft Excel 2013 RT Service Pack 1 Microsoft Excel 2013 Service Pack 1 Microsoft Excel 2016 Microsoft Excel 2016 for Mac Microsoft Excel Viewer 2007 Service Pack 3 Microsoft Office Compatibility Pack Service Pack 3 漏洞细节 Office软件中存在安全功能绕过漏洞,能够绕过强制的宏设置。要利用漏洞,攻击者必须在Excel表中制定要运行的宏。攻击者需要让用户用受影响的office软件打开特制的文件。安全更新通过强制宏设置修复了漏洞。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接