微软修补两个零时差漏洞

发布于2019-07-11 23:50:27

导读: 微软在7月9日的PatchTuesday修补了77个安全漏洞,其中有15个被列为重大(Critical)漏洞,另有两个属于零时差漏洞。这两个已被开采的零时差漏洞

微软在7月9日的Patch Tuesday修补了77个安全漏洞,其中有15个被列为重大(Critical)漏洞,另有两个属于零时差漏洞。

这两个已被开采的零时差漏洞,分别是CVE-2019-0880与CVE-2019-1132,前者存在于Windows中splwow64.exe处理特定呼叫的方式,可能衍生本地权限扩张漏洞。CVE-2019-0880本身并不算是个严重漏洞,只能把权限从低阶程序(low-integrity)扩大到中阶(medium-integrity),无法执行任意程式,但若结合其它的远端程式执行或权限扩张漏洞,就能造成重大威胁。

CVE-2019-1132同样是个权限扩张漏洞,当Windows中的Win32k元件无法适当处理内存中的元件时即会被触发,成功开采该漏洞的骇客将能在核心模式执行任意程式。不过,要开采CVE-2019-1132必须先登入系统,并以特定的应用程序诱发漏洞,以掌控使用者系统。

尽管CVE-2019-0880与CVE-2019-1132已经遭到开采,但仍只被微软列为重要(Important)漏洞。

另一个值得注意的是,在此次修补的15个重大漏洞中,有11个与IE 11或Microsoft Edge等浏览器有关,主要是涉及脚本引擎、Chakra脚本引擎、IE与Microsoft Browser的的内存毁损漏洞,相关漏洞都可招致远端程式执行。

相关文章