服务公告
微软6月份月度安全漏洞预警
2019-06-12
一、概要
微软近日发布了6月份安全补丁更新,共披露了88个安全漏洞,其中21个漏洞标记为关键漏洞。攻击者可利用漏洞执行远程代码,提升权限,获取敏感信息等。受影响的应用包括:Microsoft Windows、Internet Explorer、Microsoft Edge、ChakraCore等组件。
微软官方说明:
【注】此次补丁更新涉及两个严重漏洞(NTLM协议漏洞),攻击者通过利用这些漏洞绕过微软开发的 NTLM 防御机制,重现 NTLM Relay 攻击并在域内 Windows 系统上执行恶意代码。请各位华为云租户关注,及时安排自检并完成安全加固。
NTLM 协议中间人嗅探漏洞(CVE-2019-1040):允许攻击者捕获身份验证并将其转发到另一台服务器,从而使他们能够冒用经过身份验证的用户的特权在远程服务器上执行所有的操作。
NTLM 协议安全特征绕过漏洞(CVE-2019-1019): 攻击者可绕过并修改 NTLM 消息,制定特制的身份验证请求,成功利用此漏洞可是攻击者获取到远程服务器的操作权限。
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
Microsoft Windows、Internet Explorer、Microsoft Edge、ChakraCore、Microsoft Office等产品。
四、重要漏洞说明详情
CVE编号 |
漏洞名称 |
严重程度 |
漏洞描述 |
CVE-2019-1002 CVE-2019-1003 CVE-2019-1024 CVE-2019-1051 CVE-2019-1052 CVE-2019-0989 CVE-2019-0991 CVE-2019-0992 CVE-2019-0993 |
Chakra Scripting Engine内存损坏漏洞 |
严重 |
Chakra脚本引擎处理Microsoft Edge内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。 |
CVE-2019-0920 CVE-2019-0988 CVE-2019-1055 CVE-2019-1080 |
脚本引擎内存损坏漏洞 |
严重 |
脚本引擎处理Microsoft浏览器内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。 |
CVE-2019-0888 |
ActiveX数据对象(ADO)远程执行代码漏洞 |
严重 |
ActiveX数据对象(ADO)处理内存中对象的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以使用受害者用户的权限执行任意代码。 |
CVE-2019-0985 |
Microsoft Speech API远程执行代码漏洞 |
严重 |
当Microsoft Speech API(SAPI)不正确地处理文本到语音(TTS)输入时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者能够在当前用户的上下文中执行任意代码的方式来破坏内存。 |
CVE-2019-1038 |
Microsoft浏览器内存损坏漏洞 |
严重 |
Microsoft浏览器访问内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种允许攻击者在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。 |
CVE-2019-0620 CVE-2019-0709 CVE-2019-0722 |
Windows Hyper-V远程执行代码漏洞 |
严重 |
当主机服务器上的Windows Hyper-V无法正确验证来宾操作系统上经过身份验证的用户的输入时,存在远程执行代码漏洞。要利用此漏洞,攻击者可以在客户机操作系统上运行可能导致Hyper-V主机操作系统执行任意代码的特制应用程序。 |
CVE-2019-1023 CVE-2019-0990 |
脚本引擎信息泄露漏洞 |
严重 |
当脚本引擎无法正确处理Microsoft Edge中的内存中的对象时,存在信息泄露漏洞。成功利用此漏洞的攻击者可以获取信息以进一步危害用户的系统。 |
(注:以上为严重漏洞,其他漏洞及详情请参见微软官方说明)
五、安全建议
1、可通过Windows Update自动更新微软补丁修复漏洞,也可以手动下载补丁,补丁下载地址:
https://portal.msrc.microsoft.com/en-us/security-guidance
2、为确保数据安全,建议重要业务数据进行异地备份
注意:修复漏洞前请将资料备份,并进行充分测试。