行业新闻与博客

微软在今年年底以相对较小的补丁程序负载修复了 36 个漏洞，从而对系统管理员产生了怜悯。

该更新回合包括七个关键缺陷，其中一个被野外积极利用：CVE-2019-1458，这是 Win32k 组件中的特权提升漏洞。

尽管它仅被列为“重要”，但安全专家敦促管理员为该错误确定修复的优先级。记录下来的未来情报分析师 Allan Liska 解释说，今年早些时候在地下市场发现了类似漏洞的漏洞 CVE-2019-0859。

在其他地方，已修复的七个关键漏洞中的五个（CVE-2019-1354，  CVE-2019-1350，  CVE-2019-1352，  CVE-2019-1387 和  CVE-2019-1349）位于 Visual Studio 的 Git 中。

在这种攻击情况下，攻击者需要说服开发人员克隆恶意存储库。根据 Ivanti 安全解决方案主管 Chris Goettl 的说法，这可能有些棘手，但回报可能很大。

“这是将矛状网络钓鱼升级为工程组的特权。假设，威胁参与者可以针对软件供应商或服务提供商。如果他们对供应商的平台了解得足够多，并且能够访问这些开发人员的电子邮件地址列表，则可以创建鱼叉式网络钓鱼活动，以这些用户为目标并试图说服他们访问其恶意存储库。”

“对于开发人员来说，在他们之间共享代码或要求某人调试他们看到的问题是非常普遍的。如果一个毫无戒心的开发人员从他们认为信任的人那里连接到存储库，那么攻击者就可以控制他们的开发环境。”

昨天在其他地方，谷歌发布了其 Chrome 浏览器的更新程序，该更新程序解决了 51 个漏洞，而 Adobe 修复了其 Reader 产品中的 21 个漏洞。

专家们也很想指出，在 Windows 7 和 Server 2008/2008 R2 达到使用寿命之前，只剩下一个计划的每月补丁更新。在此之后，任何仍在运行产品而没有足够安全性或没有 Microsoft 扩展支持的组织都将面临新发现的漏洞的威胁。

非常感谢您对亚洲注册的支持与信任！

禁止转载