微软在12月份共修补了33个漏洞,其中有19个漏洞评为严重级别(Critical),涉及软件有:IE浏览器、Edge浏览器、微软office 系列软件等。以下漏洞需要特别关注:
1. CVE-2017-11937:Windows Defender是微软发布的反病毒软件,被广泛默认安装在Windows 8和Windows 10操作系统中,如果用户没有安装其他的反病毒软件,Windows Defender会自动为Windows系统提供防护, 例如当用户从网上下载文件时,该软件会自动扫描并检测文件安全性。但这块功能中存在漏洞,攻击者可以制作针对这个漏洞的特定文件,如果Windows Defender扫描这些特制文件,能导致内存破坏,里面的恶意代码即可在本地系统上执行,能创建高级权限账户直到完全控制系统。
2. CVE-2017-11885:Windows的 Routing and Remote Access服务中存在一个远程任意代码执行的漏洞,这个漏洞可以在远程触发,获取到系统的最高权限,危害用户安全。
3. 自从Office DDEAUTO技术被公开之后,该技术很快被黑客采用,用来进行APT攻击、传播勒索病毒。近段时间来,使用Office DDEAUTO技术来传播恶意文件的方法已经越来越流行,成为当前使用Office为载体传播病毒的新宠。鉴于DDEAUTO技术的危害性,微软发布了一个安全更新ADV170021,在所有Office软件中禁止了DDE功能。
腾讯电脑管家已第一时间推送微软补丁,请大家及时修复该漏洞!
以下内容是本月处理问题的详细内容:
一、 微软IE浏览器和Edge浏览器的安全更新
1. Microsoft Edge 内存损坏漏洞CVE-2017-11888
当 Microsoft Edge 不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新账户。攻击者可能拥有一个旨在通过 Microsoft Edge 利用此漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者还可能会通过添加可利用此漏洞的经特殊设计的内容,利用被入侵的网站以及接受或托管用户提供的内容或广告的网站。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。此安全更新通过修改 Microsoft Edge 处理内存中对象的方式来修复此漏洞。
漏洞影响:远程执行代码
微软评级:严重
影响产品:
Microsoft Edge Windows 10 Version 1511 for 32-bit Systems
Microsoft Edge Windows 10 Version 1511 for x64-based Systems
Microsoft Edge Windows 10 Version 1607 for 32-bit Systems
Microsoft Edge Windows 10 Version 1607 for x64-based Systems
Microsoft Edge Windows 10 Version 1703 for 32-bit Systems
Microsoft Edge Windows 10 Version 1703 for x64-based Systems
Microsoft Edge Windows 10 Version 1709 for 32-bit Systems
Microsoft Edge Windows 10 Version 1709 for x64-based Systems
Microsoft Edge Windows 10 for 32-bit Systems
Microsoft Edge Windows 10 for x64-based Systems
Microsoft Edge Windows Server 2016
2. 脚本引擎信息泄漏漏洞CVE-2017-11887、CVE-2017-11919、CVE-2017-11906
当脚本引擎不正确地处理内存中对象时,存在信息泄漏漏洞。成功利用此漏洞的攻击者可以获取信息,从而进一步入侵用户系统。在基于 Web 的攻击情形中,攻击者可能拥有一个网站以试图利用此漏洞。另外,受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户执行操作。例如,攻击者可能哄骗用户单击指向攻击者网站的链接。此安全更新程序通过更改脚本引擎处理内存中对象的方式来修复此漏洞。
漏洞影响:信息泄漏
微软评级:重要
影响产品:
ChakraCore
Internet Explorer 11 Windows 10 Version 1511 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1511 for x64-based Systems
Internet Explorer 11 Windows 10 Version 1607 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1607 for x64-based Systems
Internet Explorer 11 Windows 10 Version 1703 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1703 for x64-based Systems
Internet Explorer 11 Windows 10 Version 1709 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1709 for x64-based Systems
Internet Explorer 11 Windows 10 for 32-bit Systems
Internet Explorer 11 Windows 10 for x64-based Systems
Internet Explorer 11 Windows 7 for 32-bit Systems Service Pack 1
Internet Explorer 11 Windows 7 for x64-based Systems Service Pack 1
Internet Explorer 11 Windows 8.1 for 32-bit systems
Internet Explorer 11 Windows 8.1 for x64-based systems
Internet Explorer 11 Windows RT 8.1
Internet Explorer 11 Windows Server 2008 R2 for x64-based Systems Service Pack 1
Internet Explorer 11 Windows Server 2012 R2
Internet Explorer 11 Windows Server 2016
Microsoft Edge Windows 10 Version 1511 for 32-bit Systems
Microsoft Edge Windows 10 Version 1511 for x64-based Systems
Microsoft Edge Windows 10 Version 1607 for 32-bit Systems
Microsoft Edge Windows 10 Version 1607 for x64-based Systems
Microsoft Edge Windows 10 Version 1703 for 32-bit Systems
Microsoft Edge Windows 10 Version 1703 for x64-based Systems
Microsoft Edge Windows 10 Version 1709 for 32-bit Systems
Microsoft Edge Windows 10 Version 1709 for x64-based Systems
Microsoft Edge Windows 10 for 32-bit Systems
Microsoft Edge Windows 10 for x64-based Systems
Microsoft Edge Windows Server 2016
3. 脚本引擎内存损坏漏洞CVE-2017-11886、CVE-2017-11889、CVE-2017-11890、CVE-2017-11893、CVE-2017-11894、CVE-2017-11895、CVE-2017-11901、CVE-2017-11903、CVE-2017-11905、CVE-2017-11907、CVE-2017-11908、CVE-2017-11909、CVE-2017-11910、CVE-2017-11911、CVE-2017-11912、CVE-2017-11913、CVE-2017-11914、CVE-2017-11916、CVE-2017-11918、CVE-2017-11930
当 Internet Explorer 不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新账户。攻击者可能会托管一个旨在通过 Internet Explorer 利用此漏洞的经特殊设计的网站然后诱使用户查看此网站。攻击者还可能会利用被入侵的网站或接受或托管用户提供的内容或广告的网站,方法是添加可利用此漏洞的经特殊设计的内容。不过在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。此安全更新程序通过修改 Internet Explorer 处理内存中对象的方式来修复此漏洞。
漏洞影响:远程执行代码
微软评级:严重
影响产品:
Internet Explorer 10 Windows Server 2012
Internet Explorer 11 Windows 10 Version 1511 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1511 for x64-based Systems
Internet Explorer 11 Windows 10 Version 1607 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1607 for x64-based Systems
Internet Explorer 11 Windows 10 Version 1703 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1703 for x64-based Systems
Internet Explorer 11 Windows 10 Version 1709 for 32-bit Systems
Internet Explorer 11 Windows 10 Version 1709 for x64-based Systems
Internet Explorer 11 Windows 10 for 32-bit Systems
Internet Explorer 11 Windows 10 for x64-based Systems
Internet Explorer 11 Windows 7 for 32-bit Systems Service Pack 1
Internet Explorer 11 Windows 7 for x64-based Systems Service Pack 1
Internet Explorer 11 Windows 8.1 for 32-bit systems
Internet Explorer 11 Windows 8.1 for x64-based systems
Internet Explorer 11 Windows RT 8.1
Internet Explorer 11 Windows Server 2008 R2 for x64-based Systems Service Pack 1
Internet Explorer 11 Windows Server 2012 R2
Internet Explorer 11 Windows Server 2016
Internet Explorer 9 Windows Server 2008 for 32-bit Systems Service Pack 2
Internet Explorer 9 Windows Server 2008 for x64-based Systems Service Pack 2
二、 Office安全更新
4. Microsoft Excel Remote Code Execution Vulnerability CVE-2017-11935
当 Microsoft Office 软件无法正确处理内存中对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用经特殊设计的文件在当前用户的安全环境中执行操作。例如,文件可以代表登录用户使用与当前用户相同的权限执行操作。用户必须使用 Microsoft Office 软件的受影响版本打开经特殊设计的文件,攻击者才能利用此漏洞。在电子邮件攻击情形中,攻击者可能通过向用户发送经特殊设计的文件并诱导用户打开该文件以攻击漏洞。在基于 Web 的攻击情形中,攻击者可能托管网站(或利用接受或托管用户提供的内容的遭到入侵的网站),其中包含经特殊设计的文件以攻击漏洞。但是,攻击者无法强迫用户访问此类网站。相反,攻击者必须诱导用户单击链接,方法通常是通过电子邮件或即时消息进行诱骗,然后诱导用户打开经特殊设计的文件。此安全更新程序通过更正 Microsoft Office 处理内存中的文件的方式来修复此漏洞。
漏洞影响:远程执行代码
微软评级:重要
影响产品:
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
5. Microsoft Office 信息泄漏漏洞CVE-2017-11939
当Microsoft Outlook无法对受DRM保护的电子邮件执行复制/粘贴权限时,存在信息泄露漏洞。 成功利用此漏洞的攻击者可能会从DRM保护的草稿邮件中提取纯文本内容。攻击者必须使用另一个漏洞才能访问受害者的草稿文件夹,无论是在受害者系统上进行本地访问,还是通过MAPI进行远程访问。 此安全更新程序通过更正Microsoft Outlook强制执行DRM复制/粘贴权限的方式来解决漏洞。
漏洞影响:信息泄漏
微软评级:重要
影响产品:
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
6. Microsoft PowerPoint Information Disclosure Vulnerability CVE-2017-11934
信息披露存在一个漏洞,当 Microsoft Office 不当公开了其内存的内容。利用此漏洞的攻击者可以使用信息危害用户的计算机或数据。
要利用此漏洞,攻击者可以手工创建一个特殊的文档文件,然后说服用户打开它。攻击者必须知道在哪里创建该对象的内存地址位置。
更新通过改变某些函数处理内存中的对象的方式解决该漏洞。
漏洞影响:信息泄漏
微软评级:重要
影响产品:
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2016 for Mac
7. Microsoft SharePoint Elevation of Privilege Vulnerability CVE-2017-11936
当 Microsoft SharePoint Server 未正确地审查发往受影响的 SharePoint 服务器的经特殊设计的 Web 请求时,存在特权提升漏洞。经过身份验证的攻击者可能通过向受影响的 SharePoint 服务器发送经特殊设计的请求来利用此漏洞。成功利用这些漏洞的攻击者可能在受影响的系统上执行跨站点脚本攻击,并在当前用户的安全上下文中运行脚本。这些攻击可让攻击者阅读他们未授权阅读的内容、使用受害者的身份代表该用户在 SharePoint 网站上执行操作(例如,更改权限和删除内容)以及在用户的浏览器中注入恶意内容。该安全更新通过帮助确保 SharePoint Server 正确审查 Web 请求来修复此漏洞。
漏洞影响:特权提升
微软评级:重要
影响产品:
Microsoft SharePoint Enterprise Server 2016
8. 微软交换欺骗漏洞CVE-2017-11932
当Outlook Web Access(OWA)无法正确处理Web请求时,Microsoft Exchange Server中存在欺骗漏洞。成功利用此漏洞的攻击者可以执行脚本或内容注入攻击,并企图欺骗用户泄漏敏感信息。攻击者还可以将用户重定向到一个恶意网站,该网站可能会欺骗内容或将其用作关键链接,将攻击与Web服务中的其他漏洞相关联。要利用此漏洞,攻击者可以将包含恶意链接的特制电子邮件发送给一个用户。攻击者也可以使用聊天客户端来诱骗用户点击恶意链接。 但是在这两个示例中,用户都必须点击恶意链接。 此安全更新通过更正OWA验证Web请求的方式来解决漏洞。
漏洞影响:欺骗
微软评级:重要
影响产品:
Microsoft Exchange Server 2016 Cumulative Update 6
Microsoft Exchange Server 2016 Cumulative Update 7
三、 Windows组件更新
9. Microsoft Malware Protection Engine 远程执行代码漏洞CVE-2017-11937
当 Microsoft Malware Protection Engine 无法正常扫描经特殊设计的文件而导致内存损坏时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在 LocalSystem 账户的安全上下文中执行任意代码并控制系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新账户。为了利用此漏洞,必须由 Microsoft Malware Protection Engine 的受影响版本扫描经特殊设计的文件。攻击者可以通过多种方式将经特殊设计的文件放置在 Microsoft Malware Protection Engine 扫描的位置。例如,攻击者可以使用网站将经特殊设计的文件传送到受害者的系统,该系统在用户查看该网站时被扫描。攻击者还可以通过文件打开时扫描的电子邮件或即时消息传递经特殊设计的文件。此外,攻击者可以利用接受或托管用户提供的内容的网站,将经特殊设计的文件上传到由宿主服务器上运行的 Malware Protection Engine 扫描的共享位置。如果受影响的反恶意软件已开启实时保护,则 Microsoft Malware Protection Engine 将自动扫描文件,从而在扫描经特殊设计的文件时导致利用该漏洞。如果未启用实时扫描,则攻击者将需要等待直到发生计划的扫描才能利用该漏洞。主要是运行受影响版本的反恶意软件的所有系统会面临风险。此更新通过更正 Microsoft Malware Protection Engine 扫描经特殊设计的文件的方式来修复漏洞。注意:通常情况下,在安装 Microsoft Malware Protection Engine 更新程序时,企业管理员或最终用户无需执行任何操作,因为更新程序内置的自动检测和部署机制将在更新程序发布 48 小时内应用更新程序。准确时间取决于使用的软件、Internet 连接和基础结构配置。
漏洞影响:远程执行代码
微软评级:严重
影响产品:
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Forefront Endpoint Protection 2010
Microsoft Security Essentials
Microsoft System Center Endpoint Protection
Windows Defender Windows 10 Version 1511 for 32-bit Systems
Windows Defender Windows 10 Version 1511 for x64-based Systems
Windows Defender Windows 10 Version 1607 for 32-bit Systems
Windows Defender Windows 10 Version 1607 for x64-based Systems
Windows Defender Windows 10 Version 1703 for 32-bit Systems
Windows Defender Windows 10 Version 1703 for x64-based Systems
Windows Defender Windows 10 Version 1709 for 32-bit Systems
Windows Defender Windows 10 Version 1709 for x64-based Systems
Windows Defender Windows 10 for 32-bit Systems
Windows Defender Windows 10 for x64-based Systems
Windows Defender Windows 7 for 32-bit Systems Service Pack 1
Windows Defender Windows 7 for x64-based Systems Service Pack 1
Windows Defender Windows 8.1 for 32-bit systems
Windows Defender Windows 8.1 for x64-based systems
Windows Defender Windows RT 8.1
Windows Defender Windows Server 2016
Windows Defender Windows Server 2016 (Server Core installation)
Windows Defender Windows Server, version 1709 (Server Core Installation)
Windows Intune Endpoint Protection
10. Microsoft Windows Information Disclosure Vulnerability CVE-2017-11927
当Windows its://协议处理程序不必要地向远程站点发送流量以确定提供的URL的区域时,存在一个信息泄露漏洞。 这可能会导致将敏感信息泄露给恶意站点。要利用此漏洞,攻击者必须欺骗用户浏览恶意网站或SMB或UNC路径目标。 成功欺骗用户披露用户的NTLM哈希值的攻击者可能会尝试进行暴力攻击,以揭示相应的哈希密码。安全更新通过更正Windows its://协议处理程序如何确定请求区域来解决漏洞。
漏洞影响:信息泄漏
微软评级:重要
影响产品:
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server, version 1709 (Server Core Installation)
11. Microsoft Windows Security Feature Bypass Vulnerability CVE-2017-11899
当 Device Guard 不正确地验证不可信文件时,存在安全功能绕过漏洞。成功利用此漏洞的攻击者可以使一个未签名的文件看起来已经签名。由于 Device Guard 依赖于该签名确定文件不是恶意文件,Device Guard 随后可能会允许恶意文件执行。在攻击情景中,攻击者可以使一个不受信任的文件看起来像是受信任的文件。此更新通过更正 Device Guard 处理不受信任的文件的方式来修复此漏洞。
漏洞影响:安全功能绕过
微软评级:重要
影响产品:
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server, version 1709 (Server Core Installation)
12. Windows RRAS Service Remote Code Execution Vulnerability CVE-2017-11885
如果服务器启用了“路由和远程访问”,则RPC中存在一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以在目标系统上执行代码。 攻击者然后可以安装程序、查看、更改或删除数据; 或创建具有完全用户权限的新账户。要利用此漏洞,攻击者需要针对启用了“路由和远程访问”的RPC服务器运行特制的应用程序。 路由和远程访问是非默认配置; 未启用此功能的系统不会受到攻击。安全更新通过更正“路由和远程访问”服务处理请求的方式来解决漏洞。
漏洞影响:远程执行代码
微软评级:重要
影响产品:
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server, version 1709 (Server Core Installation)
