微软修复64个缺陷，包括2个 0day

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

本周二，微软发布2019年3月软件更新，解决了存在于 Windows 操作系统和其它产品中的64个漏洞，其中7个漏洞被评为“严重”，45个“重要”以及一个“中危”和一个“低危”级别。

这些更新解决的问题存在于 Windows、IE、Edge、MS Office 和 MS Office SharePoint、ChakraCore、企业版 Skype以及 Visual Studio NuGet 中。

其中四个被评为“重要”级别的漏洞已在本月被公开披露，且均未被发现遭在野利用。

微软修复了两个存在于 Windows 中的权限提升0day漏洞。它们被评为“重要”级别，均存在于 Win32k 组件中，其中包括谷歌上周发出警告的漏洞。

如之前所报道，谷歌上周披露了 Chrome web 浏览器中的一个关键更新是为了解决高危漏洞 (CVE-2019-5786)，并且表示攻击者已经结合利用另外一个漏洞 (CVE-2019-0808)。利用这两个漏洞均可导致远程攻击者在运行 Windows 7 或Server 2018 的目标计算机上执行任意代码并完全控制它们。

第二个 0day 漏洞存在于 Windows 中，编号为 CVE-2019-0797，也遭在野利用，类似于第一个 0day，但影响 Windows 10、8.1、Server 2012、2016和2019。

这个缺陷是由卡巴斯基实验室的安全研究员 Vasily Berdnikov 和 Boris Larin 报告的。

和预期一样，几乎所有的“严重”漏洞均可导致远程代码执行攻击，而且主要影响多种 Windows 10 和 Server 版本。多数漏洞存在于 Chakra 脚本引擎、VBS引擎、DHCP 客户端和 IE 中。

其中一些重要级别的漏洞也可导致远程代码执行攻击，其它可导致权限提升、信息暴露和拒绝服务攻击。

强烈建议用户和系统管理员尽快应用最新的安全补丁。安装最新的安全补丁更新的路径是：设置→更新和安全→Windows 更新→检查更新，或者也可手动安装。

为了解决 Windows 10 设备的更新问题，微软在本周一引入了一项安全措施，如果用户的操作系统检测到启动失败情况，则自动卸载安装在系统上的有漏洞的软件更新。

因此，如果在安装本月的安全更新后，如果用户在设备上收到提示“我们已经删除了近期安装的一些更新，以从设备的启动错误中恢复”，则表示有问题的更新已被自动卸载。微软将在接下来的30天内自动拦截有问题的更新，并在调查修复问题后重新推出更新。

Adobe 也在同一天推出了安全更新，解决了两个存在于 Adobe Photoshop CC 中的两个严重的任意代码执行漏洞和另外一个存在于 Adobe Digital Edition 中的一个漏洞。建议受影响的 Windows 和 macOS 用户将软件包更新至最新版本。

原文链接

https://thehackernews.com/2019/03/microsoft-windows-security-updates.html

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。