微软Patch Tuesday修补两个已被发现的 Windows 漏洞

发表于:2019-4-12 11:23  作者:XL科技   来源:今日头条

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 微软

  微软在9日发布4月的Patch Tuesday安全更新,总计修补了74个安全漏洞,包含CVE-2019-0803及CVE-2019-0859两个已被开采的Windows漏洞。
  
  CVE-2019-0803与CVE-2019-0859虽然是两个不同的漏洞,但它们都属于权限扩张漏洞,也都是在Win32k元件无法妥善处理记忆体中的物件时即会被触发,骇客必须先登入系统,并执行特制程式以开采该漏洞,成功攻陷将允许骇客于核心模式执行任意程式,包括安装程式、变更或删除资料,以及建立拥有完整使用权限的帐号。
  尽管这两个漏洞都必须先从本地端存取系统才能开采,但Rapid7安全研究人员Greg Wiseman表示,只要搭配微软此次修补的任何一个远端攻击漏洞就能让骇客自远端取得系统的完整控制权。
  另一个高风险的漏洞为CVE-2019-0841,它是在Windows AppX Deployment Service(AppXSVC)不当处理硬连结(hard links)时可能触发权限扩张漏洞,虽然它只被列为重要(Important)漏洞,但相关的概念性验证攻击程式已经在网路上现身。
  在74个漏洞中有15个被列为重大(Critical)等级。被资安专家视为该优先修补的包括CVE-2019-0853、CVE-2019-0845及CVE-2019-0786。
  其中,CVE-2019-0853漏洞??存在于Windows绘图装置介面(GDI)处理记忆体中物件的方式,骇客可代管一个恶意网站并诱导使用者造访,或是在网路上分享恶意档案就能开采该漏洞,成功的攻击将可取得使用者权限。
  CVE-2019-0845则是Windows IOleCvt介面的远端程式攻击漏洞,CVE-2019-0786为SMB Server的权限扩张漏洞,成功的开采可允许骇客绕过作业系统的特定安全检查,进而掌控整个系统。

      上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。

【调查报告】你以为的测试行业现状,其实是这样的!

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2019, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道