在本周二(5月8日),微软发布了新一轮的安全更新,修复了其多款产品中存在的68个获得CVE编号的安全漏洞。漏洞所涵盖的微软产品包括Microsoft Internet Explorer(IE)、Microsoft Edge、Microsoft ChakraCore、Microsoft Hyper-V Server、Microsoft Windows、Microsoft Visual Studio、Microsoft Office和Office Services以及Web Apps和Azure IoT SDK。
在这68个CVE漏洞中,有21个被评定为关键性漏洞,45个被评定为重要漏洞,另外两个则被评定为低严重程度漏洞。其中,有11个漏洞来自零日计划(Zero Day Initiative,ZDI)——CVE-2018-1021、CVE-2018-1025、CVE-2018-8112、CVE-2018-8123、CVE-2018-8124、CVE-2018-8157、CVE-2018-8162、CVE-2018-8163、CVE-2018-8164、CVE-2018-8165和CVE-2018-8179。另外,有两个漏洞正在或者已经被黑客组织用于实际攻击活动。
其中一个漏洞是CVE-2018-8174,它被描述为一个Windows VBScript引擎远程执行代码漏洞。此漏洞能够导致系统内存损坏,从而可能允许攻击者通过任意代码执行获取管理权限。然后,攻击者便可以操纵系统以达到恶意目的。安全专家指出,这个漏洞与CVE-2018-1004相似,后者已经在上次安全更新中被修复。
360核心安全事业部高级威胁应对团队将这个漏洞命名为“双杀”漏洞,能够影响到最新版本的IE浏览器以及使用了IE内核的应用程序。受害者在浏览网页或打开Office文档时都可能中招,使得攻击者能够植入后门程序以获得对受感染计算机的完全控制权限。另外,通过对实际攻击活动的分析表明,这个漏洞已经被黑客组织DarkHotel(也称APT-C-06)所使用。
另一个漏洞是CVE-2018-8120,它被描述为一个Microsoft Win32k特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码、安装任意应用程序以及查看、修改或删除数据,甚至能够在受感染系统中创建具有完整用户权限的新帐户。
据报道,这个漏洞被发现正在被一些恶意软件使用,但尚不清楚这些恶意软件的影响范围到底有多广泛。尽管如此,这个漏洞本身只是在本次安全更新中修复的7个内核漏洞中的一个,而这些漏洞必然都会是恶意软件开发者在未来的攻击中使用的对象。
除此之外,Adobe公司也发布了自己的一组安全更新,其中包括:
APSB18-12:用于解决存在于Creative Cloud桌面应用程序证书中的验证漏洞(CVE-2018-4991)以及可能导致特权提升的不当输入验证漏洞(CVE-2018-4992);
APSB18-16:用于解决Adobe Flash Player 29.0.0.140及更早版本中的关键漏洞;
APSB18-18 :针对Adobe Connect的更新,用于解决认证绕过漏洞(CVE-2018-499)。