本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有 7 个,分别存在于 Hyper-V、Windows font library以及Visual Studio中。除此之外,还包含多个重要(Important)漏洞。
综述
微软于周二发布了12月安全更新补丁,修复了38个从简单的欺骗攻击到远程执行代码的安全问题,产品涉及End of Life Software、Microsoft Graphics Component、Microsoft Office、Microsoft Scripting Engine、Microsoft Windows、None、Open Source Software、Servicing Stack Updates、Skype for Business、SQL Server、Visual Studio、Windows Hyper-V、Windows Kernel、Windows Media Player以及Windows OLE。
本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有 7 个,分别存在于 Hyper-V、Windows font library以及Visual Studio中。除此之外,还包含多个重要(Important)漏洞。
Critical漏洞概述
以下为此次更新中包含的7个Critical级别漏洞。
CVE-2019-1468
这是Windows字体库(font library)中的一个远程执行代码漏洞,源于该库无法正确处理某些嵌入式字体。 攻击者可以通过在网页上使用特制的恶意嵌入字体来利用此漏洞,诱使用户访问该网页或者在其计算机上打开特制字体文件,从而远程执行代码。
关于漏洞的更多详情及更新下载,请参考微软官方安全通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1468
CVE-2019-1471
这是Hyper-V虚拟机管理程序中的远程代码执行漏洞。 Hyper-V有时可能无法正确验证guest操作系统上经过身份验证的用户的输入。 攻击者可以通过在guest OS上运行经过特殊设计的应用程序来利用此漏洞,这将使Hyper-V host OS在host操作系统上执行任意代码。
关于漏洞的更多详情及更新下载,请参考微软官方安全通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1471
Visual Studio
Git for Visual Studio中存在多个关键漏洞(CVE-2019-1349、CVE-2019-1350、CVE-2019-1352、CVE-2019-1354、CVE-2019-1387)。
Git for Visual Studio过滤输入时存在问题,可能导致一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以控制受影响的系统。 然后,攻击者可能会安装程序,查看,更改或删除数据; 或创建具有完全用户权限的新帐户。
要利用此漏洞,攻击者首先需要说服用户克隆恶意存储库。
关于漏洞的更多详情及更新下载,请参考微软官方安全通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1349
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1350
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1352
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1354
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1387
Important漏洞概述
除了2个Critical漏洞外,此次更新还包含了多个important级别漏洞,其中3个较需关注的漏洞如下。
CVE-2019-1458
这是Windows Win32k组件中的特权提升漏洞。 攻击者可以通过登录系统,然后运行经过特殊设计的应用程序来利用此漏洞,从而使他们可以完全控制系统并以内核模式执行任意代码。 Microsoft报告说此漏洞已被广泛在野利用。
关于漏洞的更多详情及更新下载,请参考微软官方安全通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
CVE-2019-1469
这是Windows中的一个信息泄露漏洞,源于win32k组件有时无法提供内核信息。 攻击者可以利用此漏洞获取未初始化的内存和内核内存,然后将其用于其他攻击。
关于漏洞的更多详情及更新下载,请参考微软官方安全通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1469
CVE-2019-1485
这是VBscript引擎中的一个远程执行代码漏洞。 攻击者可以利用此漏洞来破坏受影响系统的内存,使他们可以在当前用户的上下文中执行任意代码。 要触发此漏洞,用户必须在Internet Explorer Web浏览器中访问恶意的,经过特殊设计的网站。 攻击者还可能在使用Internet Explorer呈现引擎的应用程序或Microsoft Office文档中嵌入标记为“初始化安全”的ActiveX控件,然后诱使用户打开该文件。
关于漏洞的更多详情及更新下载,请参考微软官方安全通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1485
修复概况
本次更新的漏洞修复情况见下表:
| 产品 | CVE 编号 | CVE 标题 | 严重程度 |
| End of Life Software | CVE-2019-1489 | Remote Desktop Protocol 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2019-1465 | Windows GDI 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2019-1466 | Windows GDI 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2019-1467 | Windows GDI 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2019-1468 | Win32k Graphics 远程代码执行漏洞 | Critical |
| Microsoft Office | CVE-2019-1400 | Microsoft Access 信息泄露漏洞 | Important |
| Microsoft Office | CVE-2019-1461 | Microsoft Word 拒绝服务漏洞 | Important |
| Microsoft Office | CVE-2019-1462 | Microsoft PowerPoint 远程代码执行漏洞 | Important |
| Microsoft Office | CVE-2019-1463 | Microsoft Access 信息泄露漏洞 | Important |
| Microsoft Office | CVE-2019-1464 | Microsoft Excel 信息泄露漏洞 | Important |
| Microsoft Scripting Engine | CVE-2019-1485 | VBScript 远程代码执行漏洞 | Important |
| Microsoft Windows | CVE-2019-1453 | Windows Remote Desktop Protocol (RDP) 拒绝服务漏洞 | Important |
| Microsoft Windows | CVE-2019-1474 | Windows Kernel 信息泄露漏洞 | Important |
| Microsoft Windows | CVE-2019-1483 | Windows 特权提升漏洞 | Important |
| Microsoft Windows | CVE-2019-1488 | Microsoft Defender 安全功能绕过漏洞 | Important |
| Microsoft Windows | CVE-2019-1476 | Windows 特权提升漏洞 | Important |
| Microsoft Windows | CVE-2019-1477 | Windows Printer Service 特权提升漏洞 | Important |
| Microsoft Windows | CVE-2019-1478 | Windows COM Server 特权提升漏洞 | Important |
| None | ADV190026 | Microsoft Guidance for cleaning up orphaned keys generated on vulnerable TPMs and used for Windows Hello for Business | |
| Open Source Software | CVE-2019-1487 | Microsoft Authentication Library for Android 信息泄露漏洞 | Important |
| Servicing Stack Updates | ADV990001 | Latest Servicing Stack Updates | Critical |
| Skype for Business | CVE-2019-1490 | Skype for Business Server 欺骗漏洞 | Important |
| SQL Server | CVE-2019-1332 | Microsoft SQL Server Reporting Services XSS Vulnerability | Important |
| Visual Studio | CVE-2019-1349 | Git for Visual Studio 远程代码执行漏洞 | Critical |
| Visual Studio | CVE-2019-1350 | Git for Visual Studio 远程代码执行漏洞 | Critical |
| Visual Studio | CVE-2019-1351 | Git for Visual Studio Tampering Vulnerability | Moderate |
| Visual Studio | CVE-2019-1352 | Git for Visual Studio 远程代码执行漏洞 | Critical |
| Visual Studio | CVE-2019-1354 | Git for Visual Studio 远程代码执行漏洞 | Critical |
| Visual Studio | CVE-2019-1387 | Git for Visual Studio 远程代码执行漏洞 | Critical |
| Visual Studio | CVE-2019-1486 | Visual Studio Live Share 欺骗漏洞 | Important |
| Windows Hyper-V | CVE-2019-1470 | Windows Hyper-V 信息泄露漏洞 | Important |
| Windows Hyper-V | CVE-2019-1471 | Windows Hyper-V 远程代码执行漏洞 | Critical |
| Windows Kernel | CVE-2019-1472 | Windows Kernel 信息泄露漏洞 | Important |
| Windows Kernel | CVE-2019-1458 | Win32k 特权提升漏洞 | Important |
| Windows Kernel | CVE-2019-1469 | Win32k 信息泄露漏洞 | Important |
| Windows Media Player | CVE-2019-1480 | Windows Media Player 信息泄露漏洞 | Important |
| Windows Media Player | CVE-2019-1481 | Windows Media Player 信息泄露漏洞 | Important |
| Windows OLE | CVE-2019-1484 | Windows OLE 远程代码执行漏洞 | Important |
修复建议
微软官方已经发布更新补丁,请及时进行补丁更新。