本月,微软共发布了121个漏洞的补丁程序,其中,Microsoft Outlook、Microsoft Windows Codecs Library、Media Foundation、Microsoft Edge PDF、.NET Framework、NetLogon以及MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括16个紧急漏洞和8个重要漏洞)影响较大:CVE--1380、CVE--1570、CVE--1555、CVE--1567、CVE--1483、CVE--1585、CVE--1560、CVE--1574、CVE--1379、CVE--1477、CVE--1492、CVE--1525、CVE--1554、CVE--1568、CVE--1046、CVE--1472、CVE--1464、CVE--1480、CVE--1529、CVE--1566、CVE--1584、CVE--1587、CVE--1578、CVE--1337。
奇安信 CERT安全通告
本月,微软共发布了121个漏洞的补丁程序,其中,Microsoft Outlook、Microsoft Windows Codecs Library、Media Foundation、Microsoft Edge PDF、.NET Framework、NetLogon以及MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括16个紧急漏洞和8个重要漏洞)影响较大,如下表所示。
CVE编号
风险等级
漏洞名称
利用可能
CVE--1380
紧急
脚本引擎内存破坏漏洞
N/Y/D/NA
CVE--1570
紧急
脚本引擎内存破坏漏洞
N/N/M/M
CVE--1555
紧急
脚本引擎内存破坏漏洞
N/N/L/NA
CVE--1567
紧急
MSHTML脚本引擎远程代码执行漏洞
N/N/M/M
CVE--1483
紧急
Microsoft Outlook内存破坏漏洞
N/N/L/L
CVE--1585
紧急
Microsoft Windows Codecs Library远程代码执行漏洞
N/N/NA/L
CVE--1560
紧急
Microsoft Windows Codecs Library远程代码执行漏洞
N/N/L/NA
CVE--1574
紧急
Microsoft Windows Codecs Library远程代码执行漏洞
N/N/L/L
CVE--1379
紧急
Media Foundation内存破坏漏洞
N/N/L/L
CVE--1477
紧急
Media Foundation内存破坏漏洞
N/N/L/L
CVE--1492
紧急
Media Foundation内存破坏漏洞
N/N/L/L
CVE--1525
紧急
Media Foundation内存破坏漏洞
N/N/L/L
CVE--1554
紧急
Media Foundation内存破坏漏洞
N/N/L/L
CVE--1568
紧急
Microsoft Edge PDF远程代码执行漏洞
N/N/L/NA
CVE--1046
紧急
.NET Framework远程代码执行漏洞
N/N/L/L
CVE--1472
紧急
NetLogon权限提升漏洞
N/N/L/L
CVE--1464
重要
Windows欺骗漏洞
Y/Y/D/D
CVE--1480
重要
Windows GDI权限提升漏洞
N/N/M/M
CVE--1529
重要
Windows GDI权限提升漏洞
N/N/M/M
CVE--1566
重要
Windows Kernel权限提升漏洞
N/N/M/M
CVE--1584
重要
Windows dnsrslvr.dll权限提升漏洞
N/N/M/M
CVE--1587
重要
Windows Ancillary Function Driver for WinSock权限提升漏洞
N/N/M/M
CVE--1578
重要
Windows Kernel信息泄露漏洞
N/N/M/M
CVE--1337
重要
Windows 打印机服务权限提升漏洞
N/N/L/L
注:“利用可能”字段包含四个维度(是否公开[Y/N]/是否在野利用[Y/N]/最新版本可利用性[D/M/L/U/NA]/历史版本可利用性[D/M/L/U/NA])
简写
定义
Y
Yes
N
No
D
0-Exploitation detected
M
1-Exploitation more likely *
L
2-Exploitation less likely **
U
3-Exploitation unlikely ***
NA
4-N/A
其中,CVE--1464Windows欺骗漏洞已被公开,并且检测到在野利用,CVE--1380 IE脚本引擎内存破坏漏洞也出现在野利用。另外,以下8个漏洞被微软标记为“ExploitationMore Likely”,这代表这些漏洞更容易被利用:
CVE--1570
CVE--1567
CVE--1480
CVE--1529
CVE--1566
CVE--1584
CVE--1587
CVE--1578
漏洞描述
本月,微软共发布121个漏洞的补丁程序,值得注意的是,CVE--1464 Windows欺骗漏洞和CVE--1380 IE脚本引擎内存破坏漏洞已被检测到在野利用。另外,以下8个漏洞被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用:
CVE--1570
CVE--1567
CVE--1480
CVE--1529
CVE--1566
CVE--1584
CVE--1587
CVE--1578
奇安信CERT对此进行研判,影响较大的24个漏洞(包括16个紧急漏洞和8个重要漏洞)的详细信息如下:
1、CVE--1380脚本引擎内存破坏漏洞*
漏洞名称
脚本引擎内存破坏漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1380
公开状态
未公开
在野利用
已存在
漏洞描述
IE脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1380
2、CVE--1570脚本引擎内存破坏漏洞
漏洞名称
脚本引擎内存破坏漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1570
公开状态
未公开
在野利用
不存在
漏洞描述
IE脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1570
3、CVE--1555脚本引擎内存破坏漏洞
漏洞名称
脚本引擎内存破坏漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1555
公开状态
未公开
在野利用
不存在
漏洞描述
Microsoft Edge 脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过攻击脆弱网站、向内容或广告服务提供商添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1555
4、CVE--1567 MSHTML脚本引擎远程代码执行漏洞
漏洞名称
MSHTML脚本引擎远程代码执行漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1567
公开状态
未公开
在野利用
不存在
漏洞描述
MSHTML脚本引擎在验证输入时,存在一个远程代码执行漏洞。攻击者可通过诱导用户编辑特制文件来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1567
5、CVE--1483 Microsoft Outlook内存破坏漏洞
漏洞名称
Microsoft Outlook内存破坏漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1483
公开状态
未公开
在野利用
不存在
漏洞描述
Microsoft Outlook在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过向用户发送带有特制文件的邮件并诱导用户打开或在预览窗口查看该文件来利用此漏洞。攻击者还可通过诱导用户访问带有特制文件的恶意网站或攻击脆弱网站向其添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上使用当前用户安全上下文执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1483
6、Microsoft Windows Codecs Library远程代码执行漏洞
漏洞名称
Microsoft Windows Codecs Library远程代码执行漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
详见漏洞描述
公开状态
未公开
在野利用
不存在
漏洞描述
Microsoft Windows Codecs Library在处理内存中的对象时,存在两个远程代码执行漏洞(CVE--1585、CVE--1560)。攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的远程攻击者可以获取信息从而进一步利用受影响系统。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1585
https://portal./en-US/security-guidance/advisory/CVE--1560
CVE--1585漏洞只影响从Microsoft Store安装了可选的HEVC或"HEVC from Device Manufacturer"媒体编解码器的系统,默认配置不受此漏洞影响。
7、CVE--1574 Microsoft Windows Codecs Library远程代码执行漏洞
漏洞名称
Microsoft Windows Codecs Library远程代码执行漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1574
公开状态
未公开
在野利用
不存在
漏洞描述
Microsoft Windows Codecs Library在处理内存中的对象时,存在远程代码执行漏洞。攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的远程攻击者可以执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1574
CVE--1574漏洞只影响从Microsoft Store安装了可选的HEVC或"HEVC from Device Manufacturer"媒体编解码器的系统,默认配置不受此漏洞影响。
8、Media Foundation内存破坏漏洞
漏洞名称
Media Foundation内存破坏漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
详见漏洞描述
公开状态
未公开
在野利用
不存在
漏洞描述
Windows Media Foundation在处理内存中的对象时,存在五个内存损坏漏洞(CVE--1379、CVE--1477、CVE--1492、CVE--1525、CVE--1554)。攻击者可通过诱导用户打开特制文件或诱导用户访问恶意网站来利用此漏洞,成功利用此漏洞的远程攻击者可以获得目标系统的完全用户权限。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1379
https://portal./en-US/security-guidance/advisory/CVE--1477
https://portal./en-US/security-guidance/advisory/CVE--1492
https://portal./en-US/security-guidance/advisory/CVE--1525
https://portal./en-US/security-guidance/advisory/CVE--1554
9、CVE--1568 Microsoft Edge PDF远程代码执行漏洞
漏洞名称
Microsoft Edge PDF远程代码执行漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1568
公开状态
未公开
在野利用
不存在
漏洞描述
Microsoft Edge PDF Reader 在处理内存中的对象时,存在远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过攻击脆弱网站、向内容或广告服务提供商添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的攻击者可在目标系统上以该用户权限执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1568
10、CVE--1046 .NET Framework远程代码执行漏洞
漏洞名称
.NET Framework远程代码执行漏洞
漏洞类型
远程代码执行
风险等级
紧急
漏洞ID
CVE--1046
公开状态
未公开
在野利用
不存在
漏洞描述
Microsoft .NET Framework 在处理输入时,存在远程代码执行漏洞。攻击者可通过向Web应用程序上传特制文件来利用此漏洞。成功利用此漏洞的攻击者可接管目标系统。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1046
11、CVE--1472 NetLogon权限提升漏洞
漏洞名称
NetLogon权限提升漏洞
漏洞类型
权限提升
风险等级
紧急
漏洞ID
CVE--1472
公开状态
未公开
在野利用
不存在
漏洞描述
NetLogon中存在一个权限提升漏洞。未经身份认证的攻击者可通过使用Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1472
/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
微软正在分两个阶段修复这个漏洞,修复方案通过修改NetLogon处理方式和NetLogon安全通道来解决这个漏洞,详情请参阅以下链接。
12、CVE--1464 Windows欺骗漏洞*
漏洞名称
Windows欺骗漏洞
漏洞类型
欺骗
风险等级
重要
漏洞ID
CVE--1464
公开状态
已公开
在野利用
已存在
漏洞描述
Windows在验证签名时,存在一个欺骗漏洞。成功利用此漏洞的攻击者可绕过安全特性,从而加载签名不正确的文件。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1464
13、Windows GDI权限提升漏洞
漏洞名称
Windows GDI权限提升漏洞
漏洞类型
权限提升
风险等级
重要
漏洞ID
详见漏洞描述
公开状态
未公开
在野利用
不存在
漏洞描述
Windows Graphics Device Interface (GDI)在处理内存中的数据时,存在两个权限提升漏洞(CVE--1480、CVE--1529)。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统内核模式下执行任意代码,获取完全的用户权限。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1480
https://portal./en-US/security-guidance/advisory/CVE--1529
14、CVE--1566 Windows Kernel权限提升漏洞
漏洞名称
Windows Kernel权限提升漏洞
漏洞类型
权限提升
风险等级
重要
漏洞ID
CVE--1566
公开状态
未公开
在野利用
不存在
漏洞描述
Windows Kernel在处理内存中的数据时,存在一个权限提升漏洞。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统内核模式下执行任意代码,获取完全的用户权限。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1566
15、CVE--1584 Windows dnsrslvr.dll权限提升漏洞
漏洞名称
Windows dnsrslvr.dll权限提升漏洞
漏洞类型
权限提升
风险等级
重要
漏洞ID
CVE--1584
公开状态
未公开
在野利用
不存在
漏洞描述
Windows dnsrslvr.dll在处理内存中的数据时,存在一个权限提升漏洞。经过本地认证的攻击者可通过在目标系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统上以提升的权限执行代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1584
16、CVE--1587 Windows Ancillary Function Driver for WinSock权限提升漏洞
漏洞名称
Windows Ancillary Function Driver for WinSock权限提升漏洞
漏洞类型
权限提升
风险等级
重要
漏洞ID
CVE--1587
公开状态
未公开
在野利用
不存在
漏洞描述
Windows Ancillary Function Driver for WinSock在处理内存中的数据时,存在一个权限提升漏洞。攻击者可通过在目标系统上运行特制程序来利用此漏洞,攻击者首先需要获取目标系统的执行权限。成功利用此漏洞的攻击者可在目标系统上以提升的权限执行代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1587
17、CVE--1578 Windows Kernel信息泄露漏洞
漏洞名称
Windows Kernel信息泄露漏洞
漏洞类型
信息泄露
风险等级
重要
漏洞ID
CVE--1578
公开状态
未公开
在野利用
不存在
漏洞描述
Windows Kernel存在一个信息泄露漏洞。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可获取目标系统内核对象的地址,从而进一步绕过目标系统上的ASLR保护。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1578
18、CVE--1337 Windows打印机服务权限提升漏洞
漏洞名称
Windows 打印机服务权限提升漏洞
漏洞类型
权限提升
风险等级
重要
漏洞ID
CVE--1337
公开状态
未公开
在野利用
不存在
漏洞描述
Windows 打印机服务中存在一个权限提升漏洞。该漏洞主要原因在于允许打印机服务写入任意文件到系统,要想成功利用此漏洞需要重启打印机服务。成功利用此漏洞的攻击者可以使用权限提升后的上下文执行任意代码。
参考链接
https://portal./en-US/security-guidance/advisory/CVE--1337
该漏洞属于微软五月补丁日CVE--1048修复不完善导致的补丁绕过。
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
处置建议
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows8、Windows 8.1、WindowsServer 以及Windows Server R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows7、Windows Server 、WindowsServer R2),可参考以下链接下载适用于该系统的8月补丁并安装:
https://portal./en-us/security-guidance/releasenotedetail/-AUG
参考资料[1] https://portal./en-us/security-guidance/releasenotedetail/-AUG
时间线8月12日,奇安信 CERT发布安全风险通告奇安信 CERT
奇安信CERT致力于
第一时间为企业级客户提供
安全风险通告和有效的解决方案