聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士团队
本周二,微软发布2019年3月软件更新,解决了存在于 Windows 操作系统和其它产品中的64个漏洞,其中7个漏洞被评为“严重”,45个“重要”以及一个“中危”和一个“低危”级别。
这些更新解决的问题存在于 Windows、IE、Edge、MS Office 和 MS Office SharePoint、ChakraCore、企业版 Skype以及 Visual Studio NuGet 中。
其中四个被评为“重要”级别的漏洞已在本月被公开披露,且均未被发现遭在野利用。
微软修复两个已遭利用的 0day 漏洞
微软修复了两个存在于 Windows 中的权限提升0day漏洞。它们被评为“重要”级别,均存在于 Win32k 组件中,其中包括谷歌上周发出警告的漏洞。
如之前所报道,谷歌上周披露了 Chrome web 浏览器中的一个关键更新是为了解决高危漏洞 (CVE-2019-5786),并且表示攻击者已经结合利用另外一个漏洞 (CVE-2019-0808)。利用这两个漏洞均可导致远程攻击者在运行 Windows 7 或Server 2018 的目标计算机上执行任意代码并完全控制它们。
第二个 0day 漏洞存在于 Windows 中,编号为 CVE-2019-0797,也遭在野利用,类似于第一个 0day,但影响 Windows 10、8.1、Server 2012、2016和2019。
这个缺陷是由卡巴斯基实验室的安全研究员 Vasily Berdnikov 和 Boris Larin 报告的。
17个严重缺陷和45个重要缺陷
和预期一样,几乎所有的“严重”漏洞均可导致远程代码执行攻击,而且主要影响多种 Windows 10 和 Server 版本。多数漏洞存在于 Chakra 脚本引擎、VBS引擎、DHCP 客户端和 IE 中。
其中一些重要级别的漏洞也可导致远程代码执行攻击,其它可导致权限提升、信息暴露和拒绝服务攻击。
强烈建议用户和系统管理员尽快应用最新的安全补丁。安装最新的安全补丁更新的路径是:设置→更新和安全→Windows 更新→检查更新,或者也可手动安装。
Windows 10 自动卸载引发问题的更新
为了解决 Windows 10 设备的更新问题,微软在本周一引入了一项安全措施,如果用户的操作系统检测到启动失败情况,则自动卸载安装在系统上的有漏洞的软件更新。
因此,如果在安装本月的安全更新后,如果用户在设备上收到提示“我们已经删除了近期安装的一些更新,以从设备的启动错误中恢复”,则表示有问题的更新已被自动卸载。微软将在接下来的30天内自动拦截有问题的更新,并在调查修复问题后重新推出更新。
Adobe 修复漏洞
Adobe 也在同一天推出了安全更新,解决了两个存在于 Adobe Photoshop CC 中的两个严重的任意代码执行漏洞和另外一个存在于 Adobe Digital Edition 中的一个漏洞。建议受影响的 Windows 和 macOS 用户将软件包更新至最新版本。
推荐阅读
原文链接
https://thehackernews.com/2019/03/microsoft-windows-security-updates.html
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。