推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > e安在线 > 十全十美日,Microsoft针对12个严重漏洞发布软件更新

十全十美日,Microsoft针对12个严重漏洞发布软件更新

e安在线 2018-10-26

【微软周二补丁日】

大家都晓得,每个月的第二个星期二UTC时间的17:00至18:00是微软发布漏洞补丁的时间,我国处在东八区,在此基础上+8个小时,也就是周三的01:00-02:00,我们收到微软漏洞补丁发布信息。

说到更新,有人会觉得普通工作电脑,又不是服务器,要那么多更新干嘛,浪费时间。

其实这就是安全意识问题,如果家庭电脑也就算了,但单位、企业中有这种想法还是比较危险的,试想一下,如果每一个人员工都成了肉鸡,服务器还远吗?75%的网络威胁来自内部员工,就是这个道理!

十全十美日,Microsoft针对12个严重漏洞发布软件更新

Windows升级设置:

设置→更新和安全→Windows Update→检查更新,或者可以手动安装更新。

 

10月补丁更新:

总共修补了49个安全漏洞,其中12个漏洞被评为严重,35个被评为重要,1个被评为中等,一个低等。


本月的安全更新解决涉及Microsoft Windows,Edge Browser,Internet Explorer,MS Office,MS Office Services和Web Apps,ChakraCore,SQL ServerManagement Studio和Exchange Server中的安全漏洞。


微软本月修补的三个安全漏洞被列为“公开”,并且有可能在发布后被利用。据报道有一个漏洞黑客被积极利用。


Windows Update修复了主动攻击下的一个重要缺陷

根据微软的一份咨询报告,一组未披露的攻击者正在积极利用Microsoft Windows操作系统中的一个重要的特权提升漏洞(CVE-2018-8453)来完全控制目标系统。


当Win32K(内核模式驱动程序)组件无法正确处理内存中的对象时,存在此缺陷,允许攻击者使用特制应用程序在内核模式下执行任意代码。

本月的更新还修补了Microsoft Windows中的一个关键远程执行代码漏洞,并影响了所有受支持的Windows版本,包括Windows 10,8.1,7和Server 2019,2016,2012和2008.

此漏洞(CVE-2018-8494))驻留在Microsoft XML核心服务(MSXML)的解析器组件中,可以通过用户输入传递恶意XML内容来利用它。

攻击者可以在目标计算机上远程执行恶意代码,并通过诱使用户查看旨在通过Web浏览器调用MSXML的特制网站来完全控制系统。

十全十美日,Microsoft针对12个严重漏洞发布软件更新


微软修补了三个公开披露的缺陷

在公司未能在120天的截止日期内修补该漏洞后,安全研究人员上个月底揭露了三个公开披露的漏洞之一的详细信息。


该漏洞标记为重要且分配了CVE-2018-8423,位于Microsoft Jet数据库引擎中,可能允许攻击者在任何易受攻击的Windows计算机上远程执行恶意代码。

有关概念验证漏洞利用代码以及有关此漏洞的更多详细信息,请阅读我们的文章。

其余两个公开披露的漏洞也被标记为重要,并且驻留在Windows内核(CVE-2018-8497)和Azure IoT集线器设备客户端SDK(CVE-2018-8531)中,这分别导致特权升级和远程代码执行。

安全更新还包括9个关键内存损坏漏洞的补丁 - Internet Explorer中的2个,Microsoft Edge中的2个,Chakra脚本引擎中的4个,以及脚本引擎中的1个 - 都导致在目标系统上远程执行代码。

除此之外,微软还发布了针对Microsoft Office的更新,该更新提供了增强的安全性作为深度防御措施。


本文来源:鼎信信息安全测评



版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《十全十美日,Microsoft针对12个严重漏洞发布软件更新》的版权归原作者「e安在线」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注e安在线微信公众号

e安在线微信公众号:ean-online

e安在线

手机扫描上方二维码即可关注e安在线微信公众号

e安在线最新文章

精品公众号随机推荐