微软“补丁星期二”共修复56个漏洞,其中1个是0day
翻译:360代码卫士团队
微软发布2018年1月的“补丁星期二”公告,共发布56个漏洞的修复方案、为Adobe Flash、Meltdown 和 Spectre 缺陷发布三个特别安全公告和修复方案以及为 Office 应用发布一个深入防御更新。
由于谷歌公开 Meltdown 和 Spectre 缺陷详情,微软在1月3日就已发布相关的紧急补丁,另外还同时发布了其它漏洞的修复方案。这些修复均包含在“补丁星期二”中。
修复Office “公式编辑器”组件中的 0day 漏洞
虽然上周 Meltdown 和 Spectre 漏洞消息霸屏,不过这次“补丁星期二”也发布了针对微软自家产品的修复方案。
其中最重要的一个修复方案针对的是 Office 和 WordPad 应用中的一个 0day 漏洞 CVE-2018-0802。它是一个内存损坏问题,可导致攻击者在受害者电脑上执行代码,存在于 Office “公式编辑器 (Equation Editor)”组件的一个老旧版本中。
微软表达了对发现该漏洞的多名研究人员的感谢,他们来自奇虎360、腾讯、opatch 团队和 Check Point 公司。另外,微软表示已经删除了组件的一些功能以解决这个 0day 漏洞。
安全公司 Embedi在2017年11月表示,公式编辑器是一款老旧且易受攻击的组件。随后网络犯罪组织快速利用这一缺陷。而由于之前有研究结果表明它可能是 Office 组件中薄弱的一环,目前似乎其它组织也找到了利用这一组件的新方法。
微软以类似的方法处理了 DDE 功能。DDE 功能曾在20世纪90年代遭滥用,随后恶意软件组织再次实施利用,微软于是从 Word 而非整个 Office 组件中删除 DDE。
修复 Outlook 中的 Mailsploit 漏洞
另外,微软还修复了 Outlook (Mac版本)中的 Mailsploit 漏洞 CVE-2018-0819。该漏洞可导致犯罪分子通过冒名身份发送邮件。
微软安全公告 ADV180001 中还包含了 Adobe Flash 的安全更新即关于 CVE-2018-871的漏洞修复。该漏洞可导致信息泄露。
总体而言,微软修复了Internet Explorer、 Microsoft Edge、Microsoft Windows、Microsoft Office和Microsoft Office Services 和Web Apps、SQL Server、ChakraCore、.NET Framework、.NET Core和ASP.NET Core中的漏洞问题。
关联阅读
Meltdown 和 Spectre 漏洞的相关安全公告、补丁和更新清单
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-patch-tuesday-fixes-56-security-issues-including-a-zero-day/