漏洞预警 | 微软Patch Tuesday修复三则重要漏洞

微软在Patch Tuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、Internet Explorer、Microsoft Edge、ASP.NET Core、.NET Core以及Chackra Core浏览器引擎。这其中包括三枚重要的漏洞,Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),Microsoft Excel安全功能绕过漏洞(CVE-2017-11877)。

Windows EOT字体引擎信息泄露漏洞

漏洞编号

CVE-2017-11832

漏洞等级

重要

影响范围

Windows 7 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012

漏洞细节

Windows 嵌入式OpenType(EOT)字体引擎在解析嵌入字体时存在漏洞。攻击者能够利用这个漏洞读取敏感数据。此漏洞不能让攻击者直接执行代码或者提升权限,但可以获取信息以进一步攻击系统。

要利用漏洞,攻击者需要登录到系统,并打开构造的字体。

安全更新修复了Windows EOT字体引擎处理嵌入字体的问题。

Windows内核信息泄露漏洞

漏洞编号

CVE-2017-11853

漏洞等级

重要

影响范围

Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

漏洞细节

Windows内核未能合理初始化内存地址导致信息泄露漏洞。攻击者利用成功后可以获取信息,用来进一步攻击用户系统。

要利用漏洞,攻击者需要登录系统,运行构造的软件。

安全更新修复了Windows内核初始化内存的问题。

Microsoft Excel安全功能绕过漏洞

漏洞编号

CVE-2017-11877

漏洞等级

重要

影响范围

Microsoft Excel 2007 Service Pack 3 Microsoft Excel 2010 Service Pack 2 Microsoft Excel 2013 RT Service Pack 1 Microsoft Excel 2013 Service Pack 1 Microsoft Excel 2016 Microsoft Excel 2016 for Mac Microsoft Excel Viewer 2007 Service Pack 3 Microsoft Office Compatibility Pack Service Pack 3

漏洞细节

Office软件中存在安全功能绕过漏洞,能够绕过强制的宏设置。要利用漏洞,攻击者必须在Excel表中制定要运行的宏。攻击者需要让用户用受影响的office软件打开特制的文件。安全更新通过强制宏设置修复了漏洞。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏游戏杂谈

解决Visual Studio 2010过卡的问题

装了Visual Assists 插件后,开发中经常会导致整个电脑都处于“挂起”的状态,任务管理器都打不开。后来修改了一下设置,现在已经正常了…

1793
来自专栏Crossin的编程教室

Windows 下的包管理器

这是一篇读者投稿。 包管理器的概念源自 Linux,与 Windows 单独下载安装软件不同,包管理器可以管理各种软件,做到统一的安装、更新和删除。某种程度上来...

3445
来自专栏腾讯玄武实验室的专栏

深入解析 DLL 劫持漏洞

2010 年 8 月,微软发布安全通报 2269637,同时网上公布了大量受影响软件的名字,DLL 劫持漏洞开始进入大家的视野。

6940
来自专栏练小习的专栏

模拟微信支付宝密码输入框的效果

中午听到别人在讨论微信的支付框以及支付宝的支付框,于是自己写了个demo出来,原理很简单,通过隐藏input,使用label控制显示,实现起来很容易。唤起数字键...

2795
来自专栏哲学驱动设计

使用 NuGet 下载最新的 Rafy 框架及文档

为了让开发者更方便地使用 Rafy 领域实体框架,本月,我们已经把最新版本的 Rafy 框架程序集发布到了 nuget.org 上,同时,还把 RafySDK ...

2048
来自专栏mwangblog

开始使用vim

1485
来自专栏自由而无用的灵魂的碎碎念

Oracle Developer Tools For Visual Studio的使用

由于微软官方已经声称,不再更新微软.NET自带的 OracleClient 库。微软将从 .NET 4 以后的版本弃用 System.Data.OracleCl...

1345
来自专栏逸鹏说道

Git技巧:右键菜单怎么去除?

如果你是按照 http://www.cnblogs.com/dunitian/p/5034624.html 那么你就没有这么多蛋疼的菜单了(反之:vs帮你安装的...

2723
来自专栏张善友的专栏

冗余代码检查工具Simian

微软web2.0开发示例Kobe,重蹈了Oxite的覆辙。Ayende连续发表了五篇高质量的Kobe探讨贴: Kobe – In the nuts & bolt...

3308
来自专栏张善友的专栏

Office Web Apps

Office Web Apps 将为 Word、Excel、PowerPoint 乃至 OneNote 的桌面版本提供基于 Web 的版本。当然,在 Web 上...

29610

扫码关注云+社区