近日,微软官方发布安全公告,涉及多个Windows远程执行代码漏洞,包括Windows PDF远程执行代码漏洞、Microsoft Excel远程执行代码漏洞等11个漏洞。成功利用上述Windows远程执行代码漏洞的攻击者,可以在目标系统上执行任意代码。Windows多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、 漏洞介绍
Microsoft Windows是美国微软公司研发的一套采用了图形化模式的操作系统。Windows PDF、Microsoft SQL Server、Windows字体库、Microsoft COM for Windows、 Microsoft Excel、Microsoft PowerPoint、PowerShell 编辑器等是其重要组成部分,主要于数据存储、日常办公等。8月14日,微软发布了11个远程执行代码漏洞(详见表1),攻击者利用相关漏洞,可以在目标系统上执行任意代码。
Windows远程执行代码漏洞详情如下:
1.Windows PDF远程执行代码漏洞(CNNVD-201808-403、CVE-2018-8350)
漏洞简介:
Windows PDF处理内存中对象的方式中存在远程执行代码漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
2.Microsoft Excel远程执行代码漏洞(CNNVD-201808-399、CVE-2018-8375)
漏洞简介:
Microsoft Excel处理内存中对象的方式中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
3.Microsoft PowerPoint远程执行代码漏洞(CNNVD-201808-397、CVE-2018-8376)
漏洞简介:
Microsoft PowerPoint处理内存中对象的方式中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
4.Microsoft Excel远程执行代码漏洞(CNNVD-201808-391、CVE-2018-8379)
漏洞简介:
Microsoft Excel 软件处理内存中的对象的方式存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
5.Microsoft SQL Server远程执行代码漏洞(CNNVD-201808-414、CVE-2018-8273)
漏洞简介:
Microsoft SQL Server 中存在缓冲区溢出漏洞,这将允许攻击者在受影响的系统上远程执行代码。成功利用此漏洞的攻击者可以在 SQL Server 数据库引擎服务帐户的上下文中执行代码。
6.Microsoft图形远程执行代码漏洞(CNNVD-201808-405、CVE-2018-8344)
漏洞简介:
Windows 字体库处理嵌入字体的方式存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
7.LNK远程执行代码漏洞(CNNVD-201808-367、CVE-2018-8345)
漏洞简介:
Microsoft Windows处理.LNK 文件的方式存在远程执行代码漏洞。成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
8.GDI 远程执行代码漏洞(CNNVD-201808-394、CVE-2018-8397)
漏洞简介:
Windows 图形设备接口 (GDI) 处理内存中对象的方式中存在远程执行代码漏洞。成功利用此漏洞的攻击者可能会控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
9.LNK远程执行代码漏洞(CNNVD-201808-366、CVE-2018-8346)
漏洞简介:
Microsoft Windows处理.LNK 文件的方式存在远程执行代码漏洞。成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
10.Microsoft COM for Windows远程执行代码漏洞(CNNVD-201808-404、CVE-2018-8349)
漏洞简介:
Windows for Microsoft COM 组件处理序列化字符串时存在序列化漏洞。成功利用此漏洞的攻击者可以使用经特殊设计的文件或脚本执行操作。在电子邮件攻击情形中,攻击者可能通过向用户发送经特殊设计的文件并诱导用户打开该文件以攻击漏洞。在基于 Web 的攻击情形中,攻击者可能托管网站(或利用接受或托管用户提供的内容的遭到入侵的网站),其中包含经特殊设计的文件以攻击漏洞。但是,攻击者无法强迫用户访问此类网站。相反,攻击者必须诱导用户单击链接,方法通常是通过电子邮件或即时消息进行诱骗,然后诱导用户打开经特殊设计的文件。
11.Microsoft PowerPoint远程执行代码漏洞(CNNVD-201808-397、CVE-2018-8376)
漏洞简介:
Windows 字体库处理嵌入字体的方式存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
二、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。