首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

仅一份邮件就能利用Exchange 服务器漏洞?

聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

微软发布2019年首个补丁星期二,修复了49个CVE漏洞并发布两个安全公告。

微软发布的“补丁星期二”修复了Windows 10、Exchange服务器和Hyper-V等中的严重漏洞。这49个漏洞修复方案针对的是DHCP中的多个远程代码执行漏洞(CVE-2019-0547)和Exchange服务器中的一个内存损坏缺陷(CVE-2019-0586)。

趋势科技ZDI团队的研究员Dustin Childs警告称,仅需向易受攻击的服务器发送一份邮件,就能利用Exchange服务器中存在的这个漏洞。他解释称,“这是个问题,因为接收邮件是Exchange工作的一大部分。微软认为这个漏洞属于‘重要’级别,但对我而言,仅发送一封邮件就能控制Exchange服务器,可将其归类为严重级别。如果你在用Exchange服务器,那么在测试和部署清单上一定要将其排在前几位。”

其中有一个漏洞已被公开。该漏洞(CVE-2019-0579)是存在于Windows Jet数据库引擎中的一个远程代码执行漏洞,可通过诱骗受害者打开某个特别构造的文件遭利用。

另外需要优先打补丁的漏洞还包括CVE-2019-0550和CVE-2019-0551,它们是存在于Windows Hyper-V中的远程代码执行漏洞。它们均可导致guest虚拟机在底层主机机器上执行利用代码。

上周,研究员Florian Kunushevci指出,安卓版Skype存在漏洞CVE-2019-0622,可导致用户绕过锁屏并访问照片和通讯录详情等。

和往常一样,微软发布的重要修复方案针对的是Edge和IE浏览器脚本引擎中出现的远程代码执行漏洞。Jet数据库也是本月的修复热点之一,共存在10个远程代码执行漏洞(包括此前提到的CVE-2019-0579)。

Office中也修复了一些漏洞,包括Word中的一个远程代码执行漏洞(CVE-2019-0585)、Exchange中的信息泄漏漏洞(CVE-2019-0588)和SharePoint中的三个跨站点脚本漏洞。

Flash 本月无漏洞

Adobe在本月未发布针对Flash的漏洞修复方案,而是对Flash的Mac、Windows、Linux和Chrome操作系统版本发布了一些性能和稳定性修复方案。

另外,Adobe还发布了针对存在于Windows、Mac、iOS和安卓版本的Digital Editions中的一个信息泄漏漏洞补丁,以及针对Connect中存在的一个令牌暴露缺陷补丁。

https://www.theregister.co.uk/2019/01/08/patch_tuesday_january/

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190110B1AGD000?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券