微软“补丁星期二”修复74个漏洞，含2个已遭利用的不详 0day

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

微软在四月“补丁星期二”发布了2个安全通告，修复了74个漏洞。其中包括可被攻击者用于提升权限的2个 0day 漏洞。用户应尽快安装这些安全更新。

这两个已遭利用的 0day 漏洞是均被评为“重要”等级的 CVE-2019-0803 和CVE-2019-0859。它们似乎是类似的漏洞，微软所发布的安全公告几乎一摸一样，且均由Win32 组件未能正确处理 Windows 内存对象所导致。如遭利用，可导致攻击者安装程序；查看、修改或删除数据；或者以完全的用户权限创建新账户。它们均可导致经验证攻击者以内核模式执行任意代码。

微软在公告中指出，“要利用漏洞，攻击者首先需要登录系统，之后运行可利用该漏洞的特殊构造的应用程序，从而控制受影响系统”。

虽然所有受支持的 Windows 版本均受影响，但微软仅发现针对老旧版本的利用尝试。Windows 10 内含的缓解措施无法中和攻击的情况很少见。

这两个漏洞的详情以及如何遭利用的情况尚未被公开，但鉴于卡巴斯基实验室报告的缺陷和微软在上个月修复的且遭 FruityArmor 和 SandCat 黑客组织所利用的一个漏洞类似，因此很可能这个新0day 也遭非国家黑客组织利用。

微软最近发布的补丁不解决在修复方案发布前细节被公开的任何安全漏洞。然而，微软确实解决了十几个影响 Windows 和 web 浏览器的严重的远程代码执行和权限提升漏洞。

微软发布的完整漏洞修复情况可见：https://portal.msrc.microsoft.com/en-us/security-guidance。

在同一天发布安全更新的 Adobe 共解决了8款产品中的40多个漏洞。这些产品包括 Flash Player、AdobeAcrobat 和 Reader、Shockwave 播放器等。

安全公告指出，Windows 和macOS 版本的Adobe Acrobat和 Reader 应用易受21个漏洞的影响，其中11个被评为“严重”级别。这些漏洞如遭利用，可导致任意代码执行的后果，进而导致目标系统遭完全控制。其余10个漏洞存在于广泛使用的 PDF 阅读器中，且均被评级为“重要”级别，可导致信息泄露问题。

Adobe 已发布 Windows、macOS、Linux 和 Chrome OS 版本的 Flash 播放器更新，旨在解决分别被评为“严重”和“重要”的两个漏洞。Flash 播放器将在2020年停止更新，它解决了一个使用后释放 (CVE-2019-7096) 漏洞，可导致攻击者在受影响系统上执行任意代码。

Adobe 还解决了7个严重的 Adobe Shockwave 播放器漏洞，很可能是该软件的最后更新。从2019年4月9日开始，Adobe 已停止支持 Windows 版本的 Shockwave 播放器。

Adobe 公司表示以上所有漏洞均未遭利用。建议用户立即更新。

参考链接

https://www.securityweek.com/microsoft-patches-windows-privilege-escalation-flaws-exploited-attacks

https://www.bleepingcomputer.com/news/microsoft/microsofts-april-2019-patch-tuesday-fixes-74-vulnerabilities/

https://thehackernews.com/2019/04/adobe-security-updates.html

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。