国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

近日，微軟官方發(fā)布了多個(gè)安全漏洞的公告，包括Windows遠(yuǎn)程桌面客戶端遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-454、CVE-2019-1333）、Microsoft XML 遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-483、CVE-2019-1060）、Microsoft Excel 遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-453、CVE-2019-1331）、Jet 數(shù)據(jù)庫(kù)引擎遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-491、CVE-2019-1359）（CNNVD-201910-435、CVE-2019-1358）等多個(gè)漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù)，提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前，微軟官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

一、 漏洞介紹

      本次漏洞公告涉及Microsoft Windows系統(tǒng) 、Microsoft XML、Microsoft Excel、Jet 數(shù)據(jù)庫(kù)、VBScript、Chakra 腳本、Azure App、Windows 遠(yuǎn)程桌面協(xié)議等Windows平臺(tái)下應(yīng)用軟件和組件。微軟多個(gè)產(chǎn)品和系統(tǒng)版本受漏洞影響，具體影響范圍可訪問(wèn)https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢，漏洞詳情如下：

      1、Windows遠(yuǎn)程桌面客戶端遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-454、CVE-2019-1333）

      漏洞簡(jiǎn)介：當(dāng)用戶連接到惡意服務(wù)器時(shí)，Windows 遠(yuǎn)程桌面客戶端會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。若要利用此漏洞，攻擊者需要控制服務(wù)器，然后利用社會(huì)工程學(xué)、病毒、中間人攻擊等手段誘導(dǎo)用戶連接到該服務(wù)器。成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。攻擊者可隨后安裝程序、查看、更改或刪除數(shù)據(jù)，或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

      2、Microsoft XML 遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-483、CVE-2019-1060）

      漏洞簡(jiǎn)介：當(dāng) Microsoft XML Core Services MSXML 分析器處理用戶輸入時(shí)，存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者需要誘使用戶單擊電子郵件或即時(shí)消息中的鏈接以使用戶鏈接到惡意網(wǎng)站，成功利用此漏洞的攻擊者可以遠(yuǎn)程運(yùn)行惡意代碼控制用戶的系統(tǒng)。

      3、Microsoft Excel 遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-453、CVE-2019-1331）

      漏洞簡(jiǎn)介：當(dāng) Microsoft Excel 軟件無(wú)法正確處理內(nèi)存中的對(duì)象時(shí)，該軟件中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。如果當(dāng)前用戶使用管理員權(quán)限登錄，那么攻擊者就可以控制受影響的系統(tǒng)。攻擊者可隨后安裝程序；查看、更改或刪除數(shù)據(jù)；或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

      4、Jet 數(shù)據(jù)庫(kù)引擎遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-491、CVE-2019-1359）（CNNVD-201910-435、CVE-2019-1358）

      漏洞簡(jiǎn)介：當(dāng) Windows Jet 數(shù)據(jù)庫(kù)引擎不正確地處理內(nèi)存中的對(duì)象時(shí)，存在遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在受害者系統(tǒng)上執(zhí)行任意代碼，攻擊者可以通過(guò)誘使受害者打開經(jīng)特殊設(shè)計(jì)的文件來(lái)利用此漏洞。

      5、VBScript 遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-475、CVE-2019-1238）（CNNVD-201910-482 、CVE-2019-1239）

      漏洞簡(jiǎn)介：VBScript 引擎處理內(nèi)存中對(duì)象的方式中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用該漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理員用戶權(quán)限登錄，那么攻擊者就可以控制受影響的系統(tǒng)。攻擊者可隨后安裝程序、查看、更改或刪除數(shù)據(jù)，或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

      6、Chakra 腳本引擎內(nèi)存損壞漏洞（CNNVD-201910-489、CVE-2019-1366）（CNNVD-201910-472、CVE-2019-1307）（CNNVD-201910-470、CVE-2019-1308）（CNNVD-201910-447、CVE-2019-1335）

      漏洞簡(jiǎn)介：Chakra 腳本引擎在 Microsoft Edge 中處理內(nèi)存中的對(duì)象時(shí)可能觸發(fā)該漏洞。成功利用該漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理員權(quán)限登錄，攻擊者便可以任意安裝程序、查看、更改或刪除數(shù)據(jù)，或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

      7、Azure App 服務(wù)特權(quán)提升漏洞（CNNVD-201910-473、CVE-2019-1372）

      漏洞簡(jiǎn)介：當(dāng) Azure App Service/ Antares on Azure Stack 在將內(nèi)存復(fù)制到緩沖區(qū)時(shí)，如果沒有檢查緩沖區(qū)長(zhǎng)度，則會(huì)觸發(fā)特權(quán)提升漏洞。成功利用此漏洞的攻擊者可允許用戶運(yùn)行未授權(quán)的功能，以執(zhí)行 NT AUTHORITY\system 的環(huán)境中的代碼，從而逃離沙盒。

      8、Windows 映像 API 遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201910-467、CVE-2019-1311）

      漏洞簡(jiǎn)介：當(dāng) Windows 映像 API 不正確地處理內(nèi)存中的對(duì)象時(shí)，存在遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞可能以一種使攻擊者可以在當(dāng)前用戶環(huán)境中執(zhí)行任意代碼的方式損壞內(nèi)存，為了利用漏洞，攻擊者必須誘使用戶打開一個(gè)專門制作的 WIM 文件。

      9、Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 拒絕服務(wù)漏洞（CNNVD-201910-461、CVE-2019-13260）

      漏洞簡(jiǎn)介：當(dāng)攻擊者使用 RDP 連接到目標(biāo)系統(tǒng)并發(fā)送經(jīng)特殊設(shè)計(jì)的請(qǐng)求時(shí)，會(huì)觸發(fā)遠(yuǎn)程桌面協(xié)議 (RDP)拒絕服務(wù)漏洞。成功利用此漏洞的攻擊者可能會(huì)導(dǎo)致目標(biāo)系統(tǒng)上的 RDP 服務(wù)停止響應(yīng)。若要利用此漏洞，攻擊者需要誘使目標(biāo)服務(wù)器運(yùn)行經(jīng)特殊設(shè)計(jì)的應(yīng)用程序。

二、修復(fù)建議

      目前，微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞，建議用戶及時(shí)確認(rèn)漏洞影響，盡快采取修補(bǔ)措施。微軟官方鏈接地址如下：

      CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。

      聯(lián)系方式: cnnvd@itsec.gov.cn