微软补丁星期二修复74个漏洞，含已遭利用的 0day 和神秘漏洞

微软刚刚发布2019年11月的补丁星期二安全更新。本次共修复了74个漏洞，其中包含一个已遭利用的0day漏洞。

该 0day漏洞的编号是CVE-2019-1429，影响 IE 9、10和11使用的脚本引擎。

微软指出，该漏洞是“脚本引擎内存损坏漏洞”，属于远程代码执行漏洞，存在于脚本引擎处理 IE 浏览器内存对象的方式中。该漏洞可损坏内存，导致攻击者在当前用户的上下文中执行任意代码。成功利用该漏洞的攻击者能够获得和当前用户相同的用户权限。如果当前用户以管理员用户权限登录，那么成功利用漏洞的攻击者就能够控制受影响系统，之后安装程序；查看、修改或删除数据；或者以完整的用户权限创建新账户。

在基于 web 的攻击场景中，攻击者能够托管一个特殊编制的网站，旨在通过 IE 浏览器利用该漏洞，之后说服用户查看网站。攻击者也能够将 ActiveX 控制标记为“初始化安全”并内嵌到托管 IE 渲染引擎的应用或微软 Office 文档中。攻击者还能够利用受攻陷网站和接受或托管用户提供内容或广告的网站，而这些网站能够包含可利用该漏洞的特殊构造的内容。

由于该漏洞存在于 IE 的脚本引擎中，因此它影响的不仅仅是 IE 浏览器本身。

微软在公告中指出，该漏洞已遭利用。另外致谢谷歌 Project Zero 团队的研究员Ivan Fratric、iDefense Labs 的匿名研究员、谷歌威胁分析团队的 Clément Lecigne 以及 Resecurity 公司报告该漏洞。

这四家机构均未发布漏洞详情。

一般而言，多数Windows 0day 通常是由政府黑客组织发现并武器化的，但这些漏洞逐渐会下沉到金融犯罪黑客组织、垃圾邮件活动、自动化利用工具包操纵者的手中。

用户通常拥有的修复时间是数周到数月不等，因为犯罪分子不久将商业化这些漏洞并使漏洞利用规模化。

去年，谷歌威胁分析团队曾经报告过多个已遭利用的 Windows 和 IE 漏洞问题，但这些攻击的详情并未公开。不过在很多情况下，这些漏洞可能是被用于目标攻击中而非大规模攻击活动中。另外，趋势科技 ZDI 认为由于补丁已发布，因此其它威胁组织可能也已经开始利用 CVE-2019-1429。

虽然上述IE0day 是需要紧急修复的漏洞，但本月补丁星期二也修复了其它产品中的漏洞。

微软发布了特别公告，处理存在于某些 Trusted Platform Module (TPM) 芯片集中的一个神秘漏洞 CVE-2019-16863。该漏洞的详情仍然未公开。这个问题似乎很严重，因为它可用来攻陷 TPM。TPM 是专门用于在计算机引导进程中确保硬件真实性的专门微控制器（芯片、加密处理器）。

趋势科技 ZDI 在文章中指出，这个特别公告涵盖了使用 ECDSA 算法的 TPM 芯片集，它是美国技术标准研究所 (NIST) 制定的一项标准，虽然已经存在一段时间了但当前的 Windows 系统并未使用该算法。漏洞存在于 TPM 固件而非操作系统本身。微软并未提供补丁。如果用户系统受影响，那么用户需要从芯片制造商那里获取 TPM 固件更新，而且还可能需要重新获得安全服务才能完全缓解该漏洞。虽然目前尚不清楚这些芯片的部署范围有多大，但打补丁的过程肯定并非易事。

微软表示目前尚未发现该漏洞遭利用的迹象，它是通过协同披露方式报告的。

此外，微软还修复了其它产品中的漏洞，其中包括 Mac 版本的 Excel中的漏洞。补丁修复的是本月初报告的一个问题，即 Mac 版本忽视“禁用所有宏”的设置，在用户打开 Excel 表单时仍然执行基于 XLM 的宏脚本，使用户成为危险的攻击向量。

更多详情请见：

https://portal.msrc.microsoft.com/en-us/security-guidance

https://www.zdnet.com/article/microsofts-november-2019-patch-tuesday-arrives-with-a-patch-for-an-ie-zero-day/

https://www.securityweek.com/microsoft-patches-another-internet-explorer-flaw-exploited-attacks

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1429

https://www.zerodayinitiative.com/blog/2019/11/12/the-november-2019-security-update-review