微软修复20个严重的浏览器漏洞
翻译:360代码卫士团队
微软在十一月份的“补丁星期二”中修复了50多个漏洞,其中包括影响微软web浏览器的20个严重缺陷。
微软本月解决的安全问题共获得53个CVE编号。在微软发布补丁之前,这些问题似乎并未在现实中被利用。
已披露的3个缺陷
其中3个缺陷已公开披露。它们分别是一个能导致代码执行的浏览器内存损坏漏洞(CVE-2017-11827)、一个存在于ASP.NET中的信息披露问题(CVE-2017-8700) 和一个存在于IE浏览器中的信息披露问题 (CVE-2017-11848)。
本月共修复了20个严重漏洞,而且它们都影响IE和/或Edge浏览器。这些安全漏洞产生的原因是浏览器在处理内存中对象时(尤其是)使用脚本引擎的方式。
通过让目标用户经由易受攻击的web浏览器访问一个特别构造的网站,这些漏洞可用于任意代码执行。
这些严重漏洞是由独立研究人员和来自PaloAlto Networks、奇虎360、谷歌、和英国的国家网络安全中心 (NCSC) 的员工报告的。其中很多安全漏洞是由谷歌零日项目的研究人员Lokihardt发现的。不久谷歌可能会将漏洞详情公之于众。
修复其它安全问题
微软这次修复的其它漏洞还包括“重要”级别的存在于ASP.NET中的DoS和权限提升问题、Device Guard安全功能绕过、Edge浏览器中的信息披露和安全功能绕过问题、Office内存损坏、以及Windows中的信息披露、权限提升以及DoS缺陷问题。
微软同时更新了AdobeFlash播放器组件。Adobe在9款产品中共解决了80个漏洞问题,包括5个严重的out-of-bounds读取和使用后释放漏洞,它们可导致远程代码执行问题。
上个月,微软和Adobe修复了已遭攻击者利用来传播恶意软件的0day漏洞。
微软SmartScreen保护Edge和IE用户免受路过式下载攻击
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/microsoft-patches-20-critical-browser-vulnerabilities