聚焦源代码安全,网罗国内外最新资讯!
微软发布十月安全更新,发布了1个安全公告(Windows 10 Servicing Stack Update)和59个漏洞更新。其中8个漏洞被评为“严重”漏洞。谷歌也发布了安卓安全补丁,共解决了26个漏洞,包括影响 Android 10 的几个远程代码执行漏洞。
在微软修复的59个漏洞中,其中两个是由 Preempt 公司发现的 NTLM 认证漏洞,它可绕过微软旨在阻止 NTLM 中继攻击的保护措施。这些漏洞的CVE 编号是 CVE-2019-1166 和CVE-2019-1338,可允许攻击者绕过 MIC(MessageIntegrity Code)保护措施。CVE-2019-1338也可导致攻击者绕过其它 NTLM 中继攻击的缓解措施如“认证增强保护措施 (EPA) 和某些发送 LMv2挑战响应的老旧 NTLM 客户端的目标 SPN认证。”Preempt 表示这些严重漏洞可导致攻击者通过 NTML 中继攻击攻陷整个域名。其它值得注意的漏洞是VBScript引擎中的两个远程代码执行漏洞和 Remote Desktop 客户端中的一个远程代码执行漏洞。VBScript 引擎的 RCE 漏洞编号是 CVE-2019-1238和CVE-2019-1239,它们可被用于恶意 Office 文档的附件或通过特殊构造的 web 站点在 IE 浏览器中触发该漏洞。Remote Desktop 客户端的 RCE 漏洞是 CVE-2019-1333,可导致恶意服务器在通过 RDP 连接时在客户端上执行代码。在这些漏洞中,最重要的是存在于 Media 框架中的三个远程代码漏洞 CVE-2019-2184、CVE-2019-2185和 CVE-2019-2186,所有这三个漏洞在 Android 7.1.1、7.1.2、8.0、8.1和9 上的评级均为“严重”。谷歌解释称,“这些问题中最严重的是 Media 框架组件中的一个严重漏洞,可导致远程攻击者使用一个特殊构造的文件在权限进程上下文中执行任意代码。”CVE-2019-2185和CVE-2019-2186同时影响最新的安卓版本 Android 10。然而,由于该版本的安全性能提升,因此影响得以缓解,它们对 Android 10 版本的影响为中危。所有的这三个漏洞都已经在运行2019-10-01安全补丁的设备上修复,另外谷歌还在这些设备中修复了 Framework 中的多个高危提权漏洞、Media 框架中的信息泄露漏洞以及系统提权和信息泄露漏洞。谷歌发布的十月补丁更新的另外一部分是通过2019-10-05安全补丁发布的,修复了 Kernel 组件中的一个高危漏洞,高通组件中的三个高风险问题以及高通闭源组件中的8个严重漏洞和7个高危漏洞。除此之外,谷歌还为 Pixel 设备发布了专门的安全更新。谷歌还表示,Pixel 1和 Pixel 2 将会在十月更新中收到 CVE-2019-2215的漏洞补丁(Pixel 3和 Pixel 3a 不受影响)。该漏洞是已遭利用的提权漏洞。另外,谷歌还修复了Framework 中的一个高风险信息泄露漏洞 (CVE-2019-2183)以及高通组件中的两个中危漏洞(CVE-2019-2297和 CVE-2019-10566)。此外,谷歌还为 Pixel 设备发布了功能补丁,以改进 WiFi 连接性能、修复 Pixel Stand 模式中的通知缺失问题、改进传感器校验功能和系统稳定性并修复改进多个用户界面问题。
https://www.bleepingcomputer.com/news/microsoft/microsofts-october-2019-patch-tuesday-fixes-59-vulnerabilities/
https://www.securityweek.com/google-patches-remote-code-execution-bugs-android-10
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。