微软12月补丁更新解读微软12月的补丁更新中发布了34个补丁,其中21个为高危,13个为重要。微软表示,补丁日
安全公告中没有任何漏洞已被公开披露或利用。这些漏洞影响以下组件:
- Microsoft windows
- Microsoft Office
- Microsoft Office Services and Web Apps
- Microsoft Exchange Server
- Microsoft Malware Protection Engine
- Internet Explorer
- Microsoft Edge
- ChakraCore
高危(Critical)漏洞CVE-2017-11937 和CVE-2017-11940其中最突出的是恶意
软件防护引擎(Microsoft Malware Protection Engine)的两个远程
代码执行漏洞CVE-2017-11937 和CVE-2017-11940。
Microsoft恶意软件防护引擎中已经确定了两个任意代码执行漏洞,可允许攻击者以本地
系统帐户的权限下执行任意代码。这些漏洞是由于引擎不正确地扫描文件而导致的。
如果系统使用受影响的Microsoft恶意软件保护引擎版本扫描特殊构造的文件,则可导致这些漏洞被利用。
Rapid7高级安全研究员Greg Wiseman表示:“这些MPE漏洞也影响Exchange Server,所以
服务器管理人员这个月又要加班了。”
Microsoft在恶意软件防护引擎 1.1.14405.2版本中修复了这个漏洞。
影响范围
CVE-2017-11935:Microsoft Excel远程代码执行漏洞Microsoft Office未正确处理内存中的对象,导致了远程执行代码漏洞。 成功利用此漏洞的攻击者可以通过特殊构造的Excel文件以当前用户的权限执行操作。
要利用此漏洞,用户必须使用受影响的Microsoft Office软件版本打开特殊构造的文件。 比如,攻击者可以通过向用户发送特殊构造的文件并诱使用户打开文件来利用此漏洞。 在基于Web的攻击情形中,攻击者可通过受害者访问某网站下载Excel文件,或者以邮件附件的形式诱导用户打开文件,从而触发漏洞。
IE和Edge浏览器脚本引擎的内存损坏漏洞(多CVE)CVE-2017-11886: Microsoft IE浏览器内存损坏漏洞没有Mitigations和Workarounds,建议赶紧升级!
影响范围:从IE 9 到IE 11
影响平台:Wcertificate store中导出。
但是攻击者想要利用这个漏洞,还得通过其他漏洞或者社工的方式能够访问到这个文件才行。
Adobe12月补丁更新解读公告ID发布日期优先级
APSB17-422017年12月12日2
概要Adobe在今年年底低调发布了一个Flash的中危CVE漏洞的补丁。 此补丁修复了重置全局设置首选项文件的bug。 虽然这个bug主要是带来了不便,但它可能会影响到安全性的设置。
受影响的版本产品版本号平台
Adobe Flash Player桌面版27.0.0.187及早期版本Windows,Macintosh
Google Chrome的Adobe Flash Player27.0.0.187及早期版本Windows,Macintosh,linux和Chrome
Microsoft Edge和Internet Explorer 11的Adobe Flash Player27.0.0.187及早期版本Windows 10和8.1
Adobe Flash Player桌面版27.0.0.187及早期版本Linux解决方案Adobe将这些更新分类为以下
优先级别,并建议用户更新到最新版本:
Adobe Flash Player桌面版Windows,Macintosh28.0.0.1262
Google Chrome的Adobe Flash PlayerWindows,Macintosh,Linux和Chrome28.0.0.1262
Microsoft Edge和Internet Explorer 11的Adobe Flash PlayerWindows 10和8.128.0.0.1262
Adobe Flash Player桌面版Linux28.0.0.1263
漏洞详情漏洞类别漏洞影响严重CVE编号
业务逻辑错误全局配置文件意外重置中等CVE-2017-11305
参考
/1 
雷达卡
UID
威望
主题
精华
贡献
墨币
活跃
担保币
发表于 2017-12-16 12:47:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜