雷锋网按,在最近一次二月份的微软周二补丁日中,软件巨头一共解决了 50 个会影响 Windows 系统、Office套件、浏览器和公司旗下其他产品的漏洞。其中,有 14 个被打上了“关键”标签,34 个被评为“重要”,只有 2 个的严重程度较为温和。
在 14 个关键漏洞中,有 Edge 浏览器的信息披露问题,也有 Windows StructuredQuery 部件的远程代码执行漏洞。此外,Outlook、Edge 和 IE 浏览器都存在内存崩溃问题。
要说这次周二补丁日解决的最严重漏洞,非影响 Outlook 的内存崩溃问题(代号 CVE-2018-0852)莫属。如果不对该漏洞进行修复,黑客就有可能通过它在目标机器上执行远程代码。
“当软件无法有效处理内存中的对象时,微软 Outlook 中会出现一个远程代码执行漏洞。只要黑客能成功利用这一漏洞,就能任意在受攻击电脑上执行代码。”微软在安全公告上写道。“如果现有用户使用管理员权限登陆,黑客更是能控制整个受攻击的系统,随意在电脑上安装程序,浏览、更改或删除数据,甚至创建拥有所有用户权限的新账户。系统中设置的用户权限越少,受影响就越小。”
想要触发该漏洞,黑客可以诱骗受害者打开一个专门 *** 的消息附件或在 Outlook 预览界面进行浏览。是的你没看错,在 Outlook 里看看邮件你可能就会中招。
“要利用该漏洞,黑客需要让用户通过被感染的 Outlook 软件打开一个特殊的文档。如果是通过 email 进行攻击,攻击者可能会给用户发送一个特制文档并说服他们打开该文档。如果要发动基于 *** 的攻击,黑客则会专门开个网站(或者利用被攻破的网站),该网站上则埋了特别设计的‘地雷’,用户一点就中招。不过,黑客无法强迫用户查看受控内容,他们只能说服用户点击。”微软解释道。
另一个会影响 Outlook 的漏洞是代号为 CVE-2018-0850 的权限升级问题。该漏洞被微软定为“重要”级别,黑客也可通过发送特制邮件来攻击 Outlook 用户。这个漏洞对黑客来说更是相当顺手,因为用户只要收到邮件它就会触发。
“成功利用该漏洞的攻击者能强迫 Outlook 加载本地或远程信息存储器(通过服务器信息块)。”微软在安全公告上警告道。
“想要利用漏洞,攻击者只需发送一封特制邮件。随后 Outlook 会试图打开 email 中一个预先配置的信息存储器。”
微软修复的另一个关键漏洞是影响 Edge 浏览器的信息披露漏洞(CVE-2018-0763)。该漏洞的产生是因为微软 Edge 浏览器没能正确的处理内存中的对象。
攻击者可以通过触发该漏洞获得敏感信息,以攻入目标机器。不过,在这里攻击者需要用户的交互。
“若 Edge 浏览器没能正确处理内存中的对象,信息披露漏洞就会出现。利用了该漏洞的攻击者能获得相关敏感信息,以便进一步渗透用户的系统。”微软在公告中写道。
雷锋网了解到,下一个漏洞早已尽人皆知,其代号为 CVE-2018-0771,可影响微软 Edge 浏览器。
“当 Edge 错误的处理了不同来历的请求,一个安全特性就会绕过现有漏洞。该漏洞让 Edge 能绕过同源政策(SOP)的限制,允许那些本该被无视的请求。利用了该漏洞的攻击者能迫使浏览器发送受限数据。”微软解释道。
总之,看到这篇文章的用户们,还是赶紧打上安全补丁吧。
雷锋网Via. Security Affairs
更多关注微信公众号:jiuwenwang
宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。 他们发现,在COVID-19大流行的早期,在美国某些州,表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员...
近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-...
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 So...
Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创...
美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...