用于修复五月份的IE“零日节“ 解决问题CVE-2018-8242的七月份第二次补丁导致了内存性能缺陷

两周前发布的7月补丁，包括用于发现Internet Explorer零日漏洞的第二个补丁，最初由微软于5月份修复。

最初的零日是一个VBScript引擎漏洞，可以通过Internet Explorer利用，用CVE-2018-8174进行跟踪。它是由奇虎360核心团队的安全研究人员发现的。

最初的零日用于针对亚洲组织的网络间谍活动。修补后，PoC代码已在线发布，它也已集成到恶意软件分发活动和漏洞利用工具包中。它现在在恶意软件开发人员中非常受欢迎。

发现了两个次要问题

在今天发布的一份报告中，奇虎360核心团队表示，他们分析了微软针对CVE-2018-8174的5月补丁，发现了它的不足。

奇虎团队表示，他们发现另外两个问题仍然可以让攻击者利用原有的漏洞。研究人员表示，他们向微软报告了这两个问题，该公司在2018年7月10日公布了本月发布的Patch Tuesday更新列表后，以新标识符CVE-2018-8242修补了两个后续漏洞。

奇虎360核心报告详细介绍了他们发现的两个新漏洞以及技术细节。

CVE-2018-8242修复程序导致了内存性能错误

研究人员证实，这一新的更新修复了最初的零日漏洞CVE-2018-8174，尽管7月的补丁似乎引入了内存泄漏。他们说这个新的“泄漏”只是一个性能问题而不是安全漏洞。

奇虎专家也借此机会提醒其他研究人员，当他们报告错误并且供应商对其进行修补时，他们的工作还没有结束。安全研究人员必须始终审核补丁并验证问题的来源是否已正确修补，才不会引入其他安全漏洞。

如果用户尚未应用2018年7月的补丁，这可能是一个好机会，或者至少安装特别的KB软件包来修复此漏洞。