当前位置:安全资讯 >> 全文

微软“补丁星期二”共修复56个漏洞,其中1个是0day

发布时间:2018-1-10 13:03 标签: 补丁星期二,0day
分享到 0

微软发布20181月的“补丁星期二”公告,共发布56个漏洞的修复方案、为Adobe FlashMeltdown Spectre 缺陷发布三个特别安全公告和修复方案以及为 Office 应用发布一个深入防御更新。

由于谷歌公开 Meltdown Spectre 缺陷详情,微软在13日就已发布相关的紧急补丁,另外还同时发布了其它漏洞的修复方案。这些修复均包含在“补丁星期二”中。

修复Office “方程式编辑器”组件中的 0day 漏洞

虽然上周 Meltdown Spectre 漏洞消息霸屏,不过这次“补丁星期二”也发布了针对微软自家产品的修复方案。

其中最重要的一个修复方案针对的是 Office WordPad 应用中的一个 0day 漏洞 CVE-2018-0802。它是一个内存损坏问题,可导致攻击者在受害者电脑上执行代码,存在于 Office “方程式编辑器 (Equation Editor)”组件的一个老旧版本中。

微软表达了对发现该漏洞的多名研究人员的感谢,他们来自奇虎360、腾讯、opatch 团队和 Check Point 公司。另外,微软表示已经删除了组件的一些功能以解决这个 0day 漏洞。

安全公司 Embedi201711月表示,方程式编辑器是一款老旧且易受攻击的组件。随后网络犯罪组织快速利用这一缺陷。而由于之前有研究结果表明它可能是 Office 组件中薄弱的一环,目前似乎其它组织也找到了利用这一组件的新方法。

微软以类似的方法处理了 DDE 功能。DDE 功能曾在20世纪90年代遭滥用,随后恶意软件组织再次实施利用,微软于是从 Word 而非整个 Office 组件中删除 DDE

修复 Outlook 中的 Mailsploit 漏洞

另外,微软还修复了 Outlook Mac版本)中的 Mailsploit 漏洞 CVE-2018-0819。该漏洞可导致犯罪分子通过冒名身份发送邮件。

微软安全公告 ADV180001 中还包含了 Adobe Flash 的安全更新即关于 CVE-2018-871的漏洞修复。该漏洞可导致信息泄露。

总体而言,微软修复了Internet Explorer Microsoft EdgeMicrosoft WindowsMicrosoft OfficeMicrosoft Office Services Web AppsSQL ServerChakraCore.NET Framework.NET CoreASP.NET Core中的漏洞问题。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/microsoft/microsoft-january-patch-tuesday-fixes-56-security-issues-including-a-zero-day/
参与讨论,请先 登录 | 注册

用户评论