微軟Patch Tuesday列出36個安全漏洞

微軟在本月的Patch Tuesday列出了36個安全漏洞，其中有7個被列為重大（Critical）漏洞，還有一個是已經被開採的許可權擴張漏洞CVE-2019-1458。

此次微軟修補的漏洞中，有7個位於Visual Studio，並有5個屬於重大漏洞，涵蓋CVE-2019-1350、CVE-2019-1349、CVE-2019-1387、CVE -2019-1354及CVE-2019-1352，它們都能造成遠程程序攻擊。

另外2個重大漏洞則分別是位於繪圖組件的CVE-2019-1468，以及位於Windows Hyper-V的CVE-2019-1471。

CVE-2019-1471也是個遠程程序執行漏洞，當主機（Host）伺服器無法妥善驗證虛擬（Guest）操作系統上通過身份認證的用戶的輸入時，就會觸發該漏洞，將允許黑客於虛擬系統上執行特定程序，以進一步於主機系統上執行任意程序。

至於CVE-2019-1468則會在Windows字體資料庫不當處理特定嵌入字體時被觸發，將允許黑客掌控系統。可能的攻擊場景包括創建一個專門開採該漏洞的網站並誘導用戶訪問，或是分享一個打開該漏洞的文件。

雖然微軟本月列出了36個安全漏洞，但實際修補的只有35個，因為其中的CVE-2019-1489存在於已經終止支持的Windows XP SP3，它藏匿在Remote Desktop Protocol（RDP）中，是個信息披露漏洞，黑客只要自遠程執行一個特定程序就能開採它。

微軟只是披露CVE-2019-1489，但並未修補它，僅建議該版本的用戶儘快升級到還在支持期限中的Windows平台。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！