专栏首页FreeBuf漏洞预警 | 微软Patch Tuesday修复三则重要漏洞

漏洞预警 | 微软Patch Tuesday修复三则重要漏洞

微软在Patch Tuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、Internet Explorer、Microsoft Edge、ASP.NET Core、.NET Core以及Chackra Core浏览器引擎。这其中包括三枚重要的漏洞,Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),Microsoft Excel安全功能绕过漏洞(CVE-2017-11877)。

Windows EOT字体引擎信息泄露漏洞

漏洞编号

CVE-2017-11832

漏洞等级

重要

影响范围

Windows 7 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012

漏洞细节

Windows 嵌入式OpenType(EOT)字体引擎在解析嵌入字体时存在漏洞。攻击者能够利用这个漏洞读取敏感数据。此漏洞不能让攻击者直接执行代码或者提升权限,但可以获取信息以进一步攻击系统。

要利用漏洞,攻击者需要登录到系统,并打开构造的字体。

安全更新修复了Windows EOT字体引擎处理嵌入字体的问题。

Windows内核信息泄露漏洞

漏洞编号

CVE-2017-11853

漏洞等级

重要

影响范围

Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

漏洞细节

Windows内核未能合理初始化内存地址导致信息泄露漏洞。攻击者利用成功后可以获取信息,用来进一步攻击用户系统。

要利用漏洞,攻击者需要登录系统,运行构造的软件。

安全更新修复了Windows内核初始化内存的问题。

Microsoft Excel安全功能绕过漏洞

漏洞编号

CVE-2017-11877

漏洞等级

重要

影响范围

Microsoft Excel 2007 Service Pack 3 Microsoft Excel 2010 Service Pack 2 Microsoft Excel 2013 RT Service Pack 1 Microsoft Excel 2013 Service Pack 1 Microsoft Excel 2016 Microsoft Excel 2016 for Mac Microsoft Excel Viewer 2007 Service Pack 3 Microsoft Office Compatibility Pack Service Pack 3

漏洞细节

Office软件中存在安全功能绕过漏洞,能够绕过强制的宏设置。要利用漏洞,攻击者必须在Excel表中制定要运行的宏。攻击者需要让用户用受影响的office软件打开特制的文件。安全更新通过强制宏设置修复了漏洞。

本文分享自微信公众号 - FreeBuf(freebuf),作者:Sphinx

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-11-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微软发布针对SMBv3漏洞的安全更新,建议用户尽快安装

    微软发布了KB4551762安全更新,修复了在微软服务器消息块3.1.1(SMBv3)中发现的Windows 10 RCE漏洞。在2020年3月补丁星期二活动日...

    FB客服
  • Ripple20 0day漏洞曝光,扫荡全球各行业数亿台联网设备

    以色列网络安全公司JSOF周二警告说,由于严重安全漏洞影响了Treck TCP/IP堆栈,全球数亿台(甚至更多)IoT设备可能会受到远程攻击。这一漏洞影响各行各...

    FB客服
  • 微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令

    10月12日,有安全研究人员发布了Windows Shell REC( CVE-2018-8495))漏洞概念验证代码,受影响软件为Windows 10内置的M...

    FB客服
  • 9.19 VR扫描:AR外科手术公司Augmedics完成830万美元A轮融资;LG最新SteamVR头显亮相

    VRPinea
  • Xcode真机测试could not find developer disk image解决方法

            在使用Xcode进行真机调试的时候,有时根据真机的系统不同,会出现could not find developer disk image 错误,...

    珲少
  • 浅谈.Net反射 1

    本文不会深入讲解反射,只是完成一个小功能:遍历枚举类型。在后续的文章里会具体讲解反射技术。

    小蜜蜂
  • 异地买房怎么破?要不试试VR样板房

    VRPinea
  • 复旦大学:利用场景图针对图像序列进行故事生成 | AAAI 2020

    论文链接: http://www.sdspeople.fudan.edu.cn/zywei/paper/2020/wang-aaai-2020.pdf

    AI科技评论
  • 苹果公司正在研制人工智能专用芯片

    《商业内幕》(Business Insider)网站刊登了Kevin Tran的一篇文章,称苹果公司正在设计专门处理移动技术中人工智能(AI)任务的芯片。 在苹...

    人工智能快报
  • 4.24 VR扫描:Vive Pro专业版套装售价11888元;好莱坞发布多人VR射击游戏Archangel:Hellfire

    VRPinea

扫码关注云+社区

领取腾讯云代金券