漏洞预警 | 微软Patch Tuesday修复三则重要漏洞
漏洞预警 | 微软Patch Tuesday修复三则重要漏洞
微软在Patch Tuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、Internet Explorer、Microsoft Edge、ASP.NET Core、.NET Core以及Chackra Core浏览器引擎。这其中包括三枚重要的漏洞,Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),Microsoft Excel安全功能绕过漏洞(CVE-2017-11877)。
Windows EOT字体引擎信息泄露漏洞
漏洞编号
CVE-2017-11832
漏洞等级
重要
影响范围
Windows 7 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012
漏洞细节
Windows 嵌入式OpenType(EOT)字体引擎在解析嵌入字体时存在漏洞。攻击者能够利用这个漏洞读取敏感数据。此漏洞不能让攻击者直接执行代码或者提升权限,但可以获取信息以进一步攻击系统。
要利用漏洞,攻击者需要登录到系统,并打开构造的字体。
安全更新修复了Windows EOT字体引擎处理嵌入字体的问题。
Windows内核信息泄露漏洞
漏洞编号
CVE-2017-11853
漏洞等级
重要
影响范围
Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016
漏洞细节
Windows内核未能合理初始化内存地址导致信息泄露漏洞。攻击者利用成功后可以获取信息,用来进一步攻击用户系统。
要利用漏洞,攻击者需要登录系统,运行构造的软件。
安全更新修复了Windows内核初始化内存的问题。
Microsoft Excel安全功能绕过漏洞
漏洞编号
CVE-2017-11877
漏洞等级
重要
影响范围
Microsoft Excel 2007 Service Pack 3 Microsoft Excel 2010 Service Pack 2 Microsoft Excel 2013 RT Service Pack 1 Microsoft Excel 2013 Service Pack 1 Microsoft Excel 2016 Microsoft Excel 2016 for Mac Microsoft Excel Viewer 2007 Service Pack 3 Microsoft Office Compatibility Pack Service Pack 3
漏洞细节
Office软件中存在安全功能绕过漏洞,能够绕过强制的宏设置。要利用漏洞,攻击者必须在Excel表中制定要运行的宏。攻击者需要让用户用受影响的office软件打开特制的文件。安全更新通过强制宏设置修复了漏洞。