【漏洞预警】CNNVD 关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，包括Microsoft Internet Explorer 安全漏洞（CNNVD-201812-458、CVE-2018-8619）、Microsoft Excel安全漏洞（CNNVD-201812-466、CVE-2018-8597）等多个漏洞。成功利用上述漏洞可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前，微软官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，采取修补措施。

一、漏洞介绍

本次漏洞公告涉及Microsoft Internet Explorer 、Microsoft Outlook 、Microsoft Excel 、Microsoft PowerPoint 、Microsoft VBScript、Chakra 脚本引擎、.NET Framework、Microsoft 文本到语音转换等Windows平台下应用软件和组件。漏洞详情如下：

1、Internet Explorer 安全漏洞（CNNVD-201812-458、 CVE-2018-8619）

漏洞简介：Internet Explorer部分版本存在远程代码执行漏洞，当Internet Explorer VBScript 执行策略未正确限制 VBScript 时，可触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

2、Microsoft Outlook 安全漏洞（CNNVD-201812-469、 CVE-2018-8587）

漏洞简介：当 Microsoft Outlook 软件无法正确处理内存中的对象时，就会触发该漏洞。攻击者可以向目标系统发送经过特殊设计的文件，从而在当前用户权限下执行恶意代码。

3、Microsoft Excel安全漏洞（CNNVD-201812-466、 CVE-2018-8597）、（CNNVD-201812-446、 CVE-2018-8636）

漏洞简介：当 Microsoft Excel软件无法正确处理内存中的对象时，就会触发该漏洞。攻击者必须诱使用户使用Microsoft Excel打开经特殊设计的文件，才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

4、Microsoft PowerPoint安全漏洞（CNNVD-201812-451、CVE-2018-8628）

漏洞简介：当 Microsoft PowerPoint软件无法正确处理内存中的对象时，就会触发该漏洞。攻击者必须诱使用户使用 Microsoft PowerPoint打开经特殊设计的文件，才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

5、Microsoft VBScript安全漏洞（CNNVD-201812-454、CVE-2018-8625）

漏洞简介：当 Microsoft VBScript引擎无法正确处理内存中的对象时，就会触发该漏洞。攻击者必须诱使用户使用 Microsoft Internet Explorer打开经特殊设计的网页或诱使用户使用Microsoft Office 打开嵌入经特殊设计的 ActiveX 控件的文档等，才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

6、Microsoft .NET Framework安全漏洞（CNNVD-201812-472 、CVE-2018-8540）

漏洞简介：当 Microsoft .NET Framework 处理不受信任的输入时可能会触发该漏洞。成功利用漏洞的攻击者可以控制受影响的系统。攻击者可任意安装程序、查看、更改或删除数据、或者创建新帐户等。

7、Microsoft 文本到语音转换程序安全漏洞（CNNVD-201812-448、CVE-2018-8634）

漏洞简介：当Microsoft 文本到语音转换程序无法正确处理内存中的对象时，可能就会触发该漏洞。成功利用漏洞的攻击者可以控制受影响的系统。攻击者可任意安装程序、查看、更改或删除数据、或者创建新帐户等。

8、Chakra 脚本引擎安全漏洞（CNNVD-201812-450、CVE-2018-8629）、（CNNVD-201812-455、CVE-2018-8624）、（CNNVD-201812-459、CVE-2018-8618）、（CNNVD-201812-460、CVE-2018-8617）、（CNNVD-201812-470、CVE-2018-8583）

漏洞简介：Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的时可能触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理权限登录，攻击者便可以任意安装程序、查看、更改或删除数据。

9、Windows权限提升漏洞（CNNVD-201812-442、CVE-2018-8641）、（CNNVD-201812-443、CVE-2018-8639）、（CNNVD-201812-462、CVE-2018-8611）

漏洞简介：当Windows内核无法正确处理内存中的对象时，可能就会触发该漏洞。攻击者首先必须登录到系统。然后运行一个经特殊设计的应用程序，才能利用此漏洞。成功利用漏洞的攻击者可以在内核模式中运行任意代码。攻击者可任意安装程序、查看、更改或删除数据、或者创建新帐户等。若要利用此漏洞，

二、修复建议

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，采取修补措施。微软官方链接地址如下：

1、Internet Explorer 安全漏洞（CNNVD-201812-458、 CVE-2018-8619）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8619

2、Microsoft Outlook 安全漏洞（CNNVD-201812-469、 CVE-2018-8587）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8587

3、Microsoft Excel安全漏洞（CNNVD-201812-466、 CVE-2018-8597）、（CNNVD-201812-446、 CVE-2018-8636）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8597

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8636

4、Microsoft PowerPoint安全漏洞（CNNVD-201812-451、CVE-2018-8628）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8628

5、Microsoft VBScript安全漏洞（CNNVD-201812-454、CVE-2018-8625）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8625

6、Microsoft .NET Framework安全漏洞（CNNVD-201812-472 、 CVE-2018-8540）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8540

7、Microsoft 文本到语音转换程序安全漏洞（CNNVD-201812-448、 CVE-2018-8634）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8634

8、Chakra 脚本引擎安全漏洞（CNNVD-201812-450、CVE-2018-8629）、（CNNVD-201812-455、 CVE-2018-8624）、（CNNVD-201812-459、 CVE-2018-8618）（ CNNVD-201812-460、 CVE-2018-8617）、（CNNVD-201812-470、 CVE-2018-8583）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8617

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8618

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8624

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8629

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8583

9、Windows权限提升漏洞（CNNVD-201812-442、 CVE-2018-8641）、（CNNVD-201812-443、 CVE-2018-8639）、（CNNVD-201812-462、 CVE-2018-8611）

官方链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8641

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8639

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8611

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn