安全公告編號:CNTA-2017-0084
12月12日,微軟發(fā)布了2017年12月份的月度例行安全公告,修復(fù)了其多款產(chǎn)品存在的51個安全漏洞。受影響的產(chǎn)品包括Windows 10(12個)、Windows 8.1 and Windows Server2012 R2(2個)、Windows Server 2012(2個)、Windows 7 and Windows Server 2008R2(2個)、Windows Server 2008(2個)、Internet Explorer (13個)、Microsoft Edg(14個)和Office(4個)。
利用上述漏洞,攻擊者可以執(zhí)行遠程代碼,提升權(quán)限,欺騙,繞過安全功能限制,獲得敏感信息,或進行拒絕服務(wù)攻擊等。CNVD提醒廣大Microsoft用戶盡快下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
CVE編號 |
公告標題和摘要 |
最高嚴重等級和漏洞影響 |
受影響的軟件 |
CVE-2017-11885
|
Microsoft Windows RRAS Service遠程代碼執(zhí)行漏洞
如果服務(wù)器啟用了路由和遠程訪問,則RPC中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行代碼。攻擊者可以安裝程序、查看、更改或刪除數(shù)據(jù);或者創(chuàng)建具有完全用戶權(quán)限的新帳戶。
要利用此漏洞,攻擊者需要針對已啟用路由和遠程訪問的RPC服務(wù)器運行專門編寫的應(yīng)用程序。路由和遠程訪問是非默認配置;未啟用它的系統(tǒng)不易受攻擊。 |
重要
遠程執(zhí)行代碼
|
Microsoft Windows
|
CVE-2017-11895
|
Microsoft Edge腳本引擎遠程執(zhí)行代碼漏洞
Microsoft Edge腳本引擎處理內(nèi)存中的對象方式中存在一個遠程執(zhí)行代碼漏洞。此漏洞可能會破壞內(nèi)存,從而攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼。成功利用該漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄,成功利用漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可以安裝程序、查看、更改或刪除數(shù)據(jù);或者創(chuàng)建具有完全用戶權(quán)限的新帳戶。 |
嚴重
遠程執(zhí)行代碼 |
Microsoft Edge |
CVE-2017-11935
|
Microsoft Office遠程代碼執(zhí)行漏洞
Microsoft Office軟件未能正確處理內(nèi)存中的對象時存在遠程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以使用特制文件在當(dāng)前用戶的安全上下文中執(zhí)行操作。 例如,文件可以代表登錄用戶采取與當(dāng)前用戶相同的權(quán)限執(zhí)行操作。 |
重要
遠程執(zhí)行代碼 |
Microsoft Office |
CVE-2017-11936 |
Microsoft Project Server權(quán)限提升漏洞
當(dāng)Microsoft SharePoint Server未正確清理對受影響的SharePoint服務(wù)器的特制Web請求時,存在特權(quán)提升漏洞。經(jīng)過身份驗證的攻擊者可以通過向受影響的SharePoint服務(wù)器發(fā)送特制的請求來利用此漏洞。成功利用此漏洞的攻擊者可以對受影響的系統(tǒng)執(zhí)行跨站腳本攻擊,并在當(dāng)前用戶的安全上下文中運行腳本。允許攻擊者讀取攻擊者未經(jīng)授權(quán)讀取的內(nèi)容,使用受害者的身份代表用戶在SharePoint站點上采取行動,例如更改權(quán)限和刪除內(nèi)容,并在用戶的瀏覽器中注入惡意內(nèi)容。 |
重要
權(quán)限提升 |
Microsoft SharePoint Enterprise Server 2016 |
參考信息:
https://portal.msrc.microsoft.com/en-us/eula
信息提供者:微軟
漏洞報告文檔編寫:
------------------------------------------------------------
CNVD是CNCERT聯(lián)合國內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國家信息安全漏洞共享平臺,旨在國內(nèi)建立統(tǒng)一收集、發(fā)布、驗證、分析等信息安全漏洞應(yīng)急處置體系。
在發(fā)布漏洞公告信息之前,CNVD都力爭保證每條公告的準確性和可靠性。然而,采納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結(jié)果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個人或您企業(yè)的安全策略和流程。
我們鼓勵所有計算機與網(wǎng)絡(luò)安全研究機構(gòu),包括廠商和科研院所,向我們報告貴單位所發(fā)現(xiàn)的漏洞信息。我們將對所有漏洞信息進行驗證并在CNCERT/CC網(wǎng)站和國家信息安全漏洞共享平臺(CNVD)公布漏洞信息及指導(dǎo)受影響用戶采取措施以避免損失。