行业新闻与博客

微软在本月的补丁更新中发布了针对 75 个漏洞的修复程序，其中包括 Internet Explorer 中的一个零日漏洞。

据微软称，存在问题的漏洞 CVE-2019-1429 存在于脚本引擎处理浏览器中内存中对象的方式中，从而破坏了内存，因此攻击者可以执行任意代码。

“成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。”

“在基于 Web 的攻击情形中，攻击者可能拥有一个旨在通过 Internet Explorer 利用此漏洞的特制网站，然后诱使用户查看该网站。攻击者还可能在承载 IE 呈现引擎的应用程序或 Microsoft Office 文档中嵌入标记为“初始化安全”的 ActiveX 控件。”

微软继续说，攻击者还可能利用受感染网站以及那些接受或托管用户提供的内容或广告的网站。

另一个值得关注的漏洞是 CVE-2019-1457，它是 Excel 中一个公开披露的漏洞，可以绕过安全功能。

“攻击者可以将控件嵌入到 Excel 工作表中，该控件指定应运行的宏。无论是在被绕过的 Excel 中的安全设置，将这个漏洞的实际风险触发宏执行，解释说：” Ivanti 安全解决方案，克里斯 Goettl 主任。

“该漏洞目前尚未在野外被利用，但由于已公开披露，威胁参与者已开始能够开发利用 CVE 的利用程序。这使该漏洞处于更高的开发风险中。”

微软还发布了咨询  从意法半导体在一些可信平台模块（TPM）芯片组的一个漏洞，这可能需要一个固件更新到 TPM。

在其他地方，Adobe 针对 Acrobat 和 Reader 中的 45 个严重漏洞发布了补丁程序，这些补丁程序应该优先用于工作站。

非常感谢您对亚洲注册的支持与信任！

禁止转载