微软在本月的Patch Tuesday列出了36个安全漏洞,其中有7个被列为重大(Critical)漏洞,还有一个是已经被开采的权限扩张漏洞CVE-2019-1458。
此次微软修补的漏洞中,有7个位于Visual Studio,并有5个属于重大漏洞,涵盖CVE-2019-1350、CVE-2019-1349、CVE-2019-1387、CVE -2019-1354及CVE-2019-1352,它们都能造成远程程序攻击。
另外2个重大漏洞则分别是位于绘图组件的CVE-2019-1468,以及位于Windows Hyper-V的CVE-2019-1471。
CVE-2019-1471也是个远程程序执行漏洞,当主机(Host)服务器无法妥善验证虚拟(Guest)操作系统上通过身份认证的用户的输入时,就会触发该漏洞,将允许黑客于虚拟系统上执行特定程序,以进一步于主机系统上执行任意程序。
至于CVE-2019-1468则会在Windows字体数据库不当处理特定嵌入字体时被触发,将允许黑客掌控系统。可能的攻击场景包括创建一个专门开采该漏洞的网站并诱导用户访问,或是分享一个打开该漏洞的文件。
虽然微软本月列出了36个安全漏洞,但实际修补的只有35个,因为其中的CVE-2019-1489存在于已经终止支持的Windows XP SP3,它藏匿在Remote Desktop Protocol(RDP)中,是个信息披露漏洞,黑客只要自远程执行一个特定程序就能开采它。
微软只是披露CVE-2019-1489,但并未修补它,仅建议该版本的用户尽快升级到还在支持期限中的Windows平台。