未加星标

【国际资讯】微软/Adobe 11月安全更新补丁回顾

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
【国际资讯】微软/Adobe 11月安全更新补丁回顾 2017-11-15 19:00:55 阅读:3243次 点赞(0) 收藏 来源: 安全客
【国际资讯】微软/Adobe 11月安全更新补丁回顾 作者:我就是想喝维他柠檬茶
【国际资讯】微软/Adobe 11月安全更新补丁回顾

微软发布安全更新补丁

和往常一样,微软在星期二发布了月度安全更新补丁,修复了一系列涉及到不同产品的安全漏洞。这次一共有54个安全补丁,其中53个有CVE编号——其中19个高危漏洞,31个重要漏洞以及3个中等漏洞。这些漏洞影响了包含Edge、IE、脚本引擎在内的微软产品。


Adobe发布安全通告

除此之外,Adobe也发布了9个安全通告,涉及到Flash Player、Photoshop等产品相关的86个CVE漏洞。其中70个为高危漏洞,15个为重要漏洞以及一个中等漏洞。

可以看到,在几个月前Flash宣布死刑后,Flash更新的安全补丁数量越来越少,此次Flash仅仅更新了3个OOB(Out of Bounds)读取漏洞和2个UAF漏洞。相较而言,Adobe Reader和Acrobat的更新就多了不少,共修复了62个安全问题,其中最多的就是OOB读取漏洞,以及一些UAF漏洞、OOB写入漏洞以及堆栈溢出、类型混淆等。其中Adobe Acrobat Reader存在的ActualText结构化元素代码执行漏洞(CVE-2017-16367/TALOS-2017-0356)已经有文章分析,有关这个漏洞的更多信息请跳转此漏洞分析链接。


安全更新补丁说明

虽然Mobile Pwn2Own已经结束,不过其中涉及到的漏洞在这次的更新补丁中还未修复,它们将会在未来的更新中修复。不过值得高兴的是,微软与Adobe宣称修复的这些漏洞都未曾观测到被利用的情况。

微软安全补丁漏洞表格

已公布的漏洞

【国际资讯】微软/Adobe 11月安全更新补丁回顾

高危漏洞


【国际资讯】微软/Adobe 11月安全更新补丁回顾

微软高危漏洞列表

CVE-2017-11836 - 脚本引擎 内存损坏漏洞

CVE-2017-11837 - 脚本引擎 内存损坏漏洞

CVE-2017-11838 - 脚本引擎 内存损坏漏洞

CVE-2017-11839 - 脚本引擎 内存损坏漏洞

CVE-2017-11840 - 脚本引擎 内存损坏漏洞

CVE-2017-11841 - 脚本引擎 内存损坏漏洞

CVE-2017-11843 - 脚本引擎 内存损坏漏洞

CVE-2017-11845 - Edge浏览器 内存损坏漏洞

CVE-2017-11846 - 脚本引擎 内存损坏漏洞

CVE-2017-11855 - IE浏览器 内存损坏漏洞

CVE-2017-11856 - IE浏览器 内存损坏漏洞

CVE-2017-11858 - 脚本引擎 内存损坏漏洞

CVE-2017-11861 - 脚本引擎 内存损坏漏洞

CVE-2017-11862 - 脚本引擎 内存损坏漏洞

CVE-2017-11866 - 脚本引擎 内存损坏漏洞

CVE-2017-11869 - 脚本引擎 内存损坏漏洞

CVE-2017-11870 - 脚本引擎 内存损坏漏洞

CVE-2017-11871 - 脚本引擎 内存损坏漏洞

CVE-2017-11873 - 脚本引擎 内存损坏漏洞

脚本引擎内存损坏漏洞(通过网页触发)

本次更新中的多个漏洞与Edge中的脚本引擎有关,可通过特殊构造的恶意网页来触发这些漏洞,经由Edge在内存中对对象的错误处理而导致任意代码执行。以下为这些漏洞相关的CVE列表:

CVE-2017-11836

CVE-2017-11839

CVE-2017-11840

CVE-2017-11841

CVE-2017-11861

CVE-2017-11862

CVE-2017-11866

CVE-2017-11870

CVE-2017-11871

CVE-2017-11873

脚本引擎内存损坏漏洞(可通过嵌入Office文档的ActiveX控件触发)

同样是脚本引擎中的内存相关漏洞,这些漏洞可以让攻击者实现远程代码执行。除了通过网页触发外,这些漏洞还可以通过嵌入Office文档的ActiveX控件来触发。以下为这些漏洞相关的CVE列表:

CVE-2017-11837

CVE-2017-11838

CVE-2017-11843

CVE-2017-11846

CVE-2017-11858

CVE-2017-11845 Edge内存损坏漏洞

这是影响Edge的漏洞,利用Edge处理内存对象的方式,通过特殊构造的恶意网页触发并使得攻击者实现远程代码执行。


IE内存浏览器损坏漏洞

此处有两个远程代码执行漏洞,影响IE浏览器。攻击者可通过特殊设计的恶意网页或邮件附件触发此漏洞造成代码执行。以下为这些漏洞相关的CVE列表:

CVE-2017-11803

CVE-2017-11844

CVE-2017-11869 脚本引擎内存损坏漏洞

影响IE浏览器脚本引擎的远程代码执行漏洞,同样是需要特殊设计的恶意网页来触发。


微软安全更新补丁总结

这次涉及到的漏洞,内存损坏漏洞占了绝大部分(全部漏洞类型的47%),浏览器与Office的内存损坏漏洞总计数量达到了25个。接着是信息泄露漏洞,总计18个,不过它们的严重程度不是很高。考虑到密码凭证泄露的问题,ASP.NET漏洞同样需要关注。


参考

http://blog.talosintelligence.com/2017/11/ms-tuesday.html

https://www.zerodayinitiative.com/blog/2017/11/14/the-november-2017-security-update-review


【国际资讯】微软/Adobe 11月安全更新补丁回顾
【国际资讯】微软/Adobe 11月安全更新补丁回顾 本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/4384.html

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:【国际资讯】微软/Adobe 11月安全更新补丁回顾
本站链接:http://www.codesec.net/view/568599.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(38)