微软今天发布了2019年12月补丁周二安全更新。本月的更新包括对36个漏洞的修复,包括Windows操作系统中的零天,这些漏洞在野外被利用。
微软今天在一份安全顾问报告中说:“当Win32k组件无法正确处理内存中的对象时,Windows中存在特权漏洞的提升。
它补充说:“一个攻击者如果成功地利用了这个漏洞,就可以在内核模式下运行任意代码。”然后,攻击者可以安装程序;查看、更改或删除数据;或者创建具有完整用户权限的新帐户。
微软认为卡巴斯基实验室的安全研究人员发现了“零天”,它跟踪的是CVE-2019-1458。
Trend Micro零日倡议(ZDI)成员Dustin Childs认为,这一Windows零日与谷歌在10月底(即CVE-2019-13720)修补Chrome的零日相连。
他补充说:“虽然还没有证实这个补丁与Chrome攻击有关,但这是一个用来执行沙箱逃逸的bug类型。”
根据卡巴斯基的说法,Chromezero-day被一个名为WizardOpium的黑客组织用来引诱恶意网站的用户,在那里他们会使用Chrome零天来感染他们的恶意软件。
在这篇文章发表之后,卡巴斯基在一篇正式将这两个零天联系起来的博客文章中证实了Childs的理论。
微软本月共修复了36个安全漏洞,其中仅有7个被评为关键。这是微软今年最小的补丁周二更新,也是过去三年来最轻的一次。
本月修补的其他重要bug,在恶意软件战役或目标攻击中造成严重的使用风险的是CVE-2019-1468(Win32k组件中的远程代码执行)和CVE-2019-1471(Windows Hyper-V虚拟化工具包中的远程代码执行bug)..
除了Windows,其他接收修复的产品还包括SQLServer、Visual Studio、Skypefor Business、Micros of tOffice以及Micros of tOffice Services和WebApps。