微软今天发布了2019年12月补丁星期二的安全更新。本月的更新包括针对36个漏洞的修复程序,其中包括在Windows操作系统中被广泛利用的零日漏洞。
微软今天在一份安全通报中说:“当Win32k组件无法正确处理内存中的对象时,Windows中存在一个特权提升漏洞。”
它补充说:“成功利用此漏洞的攻击者可以在内核模式下运行任意代码。” “然后,攻击者可能会安装程序;查看,更改或删除数据;或者创建具有完全用户权限的新帐户。”
微软赞扬卡巴斯基实验室的安全研究人员发现了零日漏洞,并将其称为CVE-2019-1458。
趋势科技零日倡议(ZDI)的成员Dustin Childs认为,此Windows零日与Google于 10月底在Chrome中修补的零日(即CVE-2019-13720)有关。
Childs说:“ [Kaspersky]报告了Chrome中的一个UAF正在被积极利用。” “当[Chrome]错误公开后,人们猜测它与Windows内核错误配对以逃避沙箱。
他补充说:“虽然尚未确认此补丁与这些Chrome攻击有关,但这是一种用于执行沙箱转义的错误类型。”
根据卡巴斯基的说法,一个叫做WizardOpium的黑客组织正在利用 Chrome的安全日来诱使用户访问恶意网站,而在这些网站上,他们会使用Chrome的零时差来感染恶意软件。
在本文发表之后,卡巴斯基在一篇正式将两个零时差联系起来的博客文章中证实了柴尔德斯的理论。
其他修复
微软本月总共修复了36个安全漏洞,其中只有7个被评为严重。这是微软今年以来最小的Patch Tuesday更新,也是过去三年中最轻的更新之一。
本月修补的其他严重漏洞构成了被恶意软件攻击或定向攻击使用的严重风险,包括CVE-2019-1468(Win32k组件中的远程代码执行)和CVE-2019-1471(CVE-2019-1471)( Windows Hyper-V虚拟化工具包)。
除Windows之外,其他获得修复的产品包括SQL Server,Visual Studio,Skype for Business,Microsoft Office以及Microsoft Office Services和Web Apps。
其他有用的星期二补丁程序信息如下:
Microsoft的官方“安全更新指南”门户在可过滤的表中列出了所有安全更新。
ZDNet还将这一页放在一起,在一个页面上的一个位置列出了所有安全更新。
还可以从Cisco Talos,SANS ISC,Tenable和趋势科技获得有关今天星期二补丁的更多分析。
此处详细介绍了本月的Adobe安全更新。
此处详细介绍了 SAP安全更新。
此处提供了英特尔安全更新。
此处详细介绍了 2019年12月的Android安全公告。补丁程序上周开始在用户的电话中推出。
一个谷歌浏览器的新版本也已经正式发售。
苹果今天还发布了针对iOS和iPadOS 13.3的安全更新。