漏洞预警 | 微软Patch Tuesday修复三则重要漏洞

微软在Patch Tuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、Internet Explorer、Microsoft Edge、ASP.NET Core、.NET Core以及Chackra Core浏览器引擎。这其中包括三枚重要的漏洞,Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),Microsoft Excel安全功能绕过漏洞(CVE-2017-11877)。

Windows EOT字体引擎信息泄露漏洞

漏洞编号

CVE-2017-11832

漏洞等级

重要

影响范围

Windows 7 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012

漏洞细节

Windows 嵌入式OpenType(EOT)字体引擎在解析嵌入字体时存在漏洞。攻击者能够利用这个漏洞读取敏感数据。此漏洞不能让攻击者直接执行代码或者提升权限,但可以获取信息以进一步攻击系统。

要利用漏洞,攻击者需要登录到系统,并打开构造的字体。

安全更新修复了Windows EOT字体引擎处理嵌入字体的问题。

Windows内核信息泄露漏洞

漏洞编号

CVE-2017-11853

漏洞等级

重要

影响范围

Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

漏洞细节

Windows内核未能合理初始化内存地址导致信息泄露漏洞。攻击者利用成功后可以获取信息,用来进一步攻击用户系统。

要利用漏洞,攻击者需要登录系统,运行构造的软件。

安全更新修复了Windows内核初始化内存的问题。

Microsoft Excel安全功能绕过漏洞

漏洞编号

CVE-2017-11877

漏洞等级

重要

影响范围

Microsoft Excel 2007 Service Pack 3 Microsoft Excel 2010 Service Pack 2 Microsoft Excel 2013 RT Service Pack 1 Microsoft Excel 2013 Service Pack 1 Microsoft Excel 2016 Microsoft Excel 2016 for Mac Microsoft Excel Viewer 2007 Service Pack 3 Microsoft Office Compatibility Pack Service Pack 3

漏洞细节

Office软件中存在安全功能绕过漏洞,能够绕过强制的宏设置。要利用漏洞,攻击者必须在Excel表中制定要运行的宏。攻击者需要让用户用受影响的office软件打开特制的文件。安全更新通过强制宏设置修复了漏洞。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张善友的专栏

认识ASP.NET 5项目结构和项目文件xproj

ASP.NET 5 在项目结构上做了很大的改变,我们以前熟悉的目录结构与项目文件内容都不太一样了,本篇文章带大家了解 ASP.NET 5 到底跟以前有哪些不一样...

27480
来自专栏数值分析与有限元编程

VS2017作为python开发的IDE

在VS这一款号称“宇宙最强”的IDE和编译器中,高度集成了对python语言的支持,并直接加入了机器学习的框架,只需要在安装的时候选择python模块就行(可以...

5K10
来自专栏深度学习那些事儿

最新VS for Mac离线安装教程汇总!

VS大家都知道,大名鼎鼎的Visual Studio、功能强大的IDE,这里汇集了VS在mac OS系统上的各种下载方式和下载步骤,博主被折腾的死去活来于是会对...

1.1K30
来自专栏逸鹏说道

Git技巧:右键菜单怎么去除?

如果你是按照 http://www.cnblogs.com/dunitian/p/5034624.html 那么你就没有这么多蛋疼的菜单了(反之:vs帮你安装的...

28030
来自专栏张善友的专栏

升级个人网站框架组件IBatisNet+Castle

今天晚上花了两个小时从Castle网站拿到最新的Castle.Facilities.IBatisNetIntegration代码,将IBatisNet版本升级到...

23870
来自专栏大内老A

“前.NET Core时代”如何实现跨平台代码重用 ——源文件重用

微软在2002年推出了第一个版本的 .NET Framework,这是一个主要面向Windows 桌面(Windows Forms)和服务器(ASP.NET W...

22360
来自专栏张善友的专栏

Windows Server AppFabric正式发布

Windows Server AppFabric 是一组集成技术,可更轻松地生成、扩展和管理 IIS 上运行的 Web 应用程序和复合应用程序,它是一款主要面向...

21580
来自专栏bboysoul

信息收集工具(ReconDog)

ReconDog是一个你用来做基础信息收集的工具,它使用API来工作来使你的信息不被暴露

12010
来自专栏哲学驱动设计

使用 NuGet 下载最新的 Rafy 框架及文档

为了让开发者更方便地使用 Rafy 领域实体框架,本月,我们已经把最新版本的 Rafy 框架程序集发布到了 nuget.org 上,同时,还把 RafySDK ...

22180
来自专栏自由而无用的灵魂的碎碎念

Oracle Developer Tools For Visual Studio的使用

由于微软官方已经声称,不再更新微软.NET自带的 OracleClient 库。微软将从 .NET 4 以后的版本弃用 System.Data.OracleCl...

15950

扫码关注云+社区

领取腾讯云代金券