2. 程式人生 > >微軟披露 IE 漏洞,攻擊者可以控制受影響系統

微軟披露 IE 漏洞,攻擊者可以控制受影響系統

阿新 發佈:2018-12-21

  

Google 工程師發現 IE 中存在一個漏洞,攻擊者可以通過漏洞完全控制受害作業系統。


據分析,這是一個指令碼引擎記憶體損壞漏洞,影響所有受支援 Windows 上的 IE,包括 Windows 10 1809。該漏洞由 Google 威脅分析組的 Clement Lecigne 發現並報告給微軟。微軟表示,在被公開披露之前,該漏洞已經被利用。目前漏洞已經被收錄為 CVE-2018-8653

“指令碼引擎處理 IE 記憶體物件的方式中存在一個遠端執行程式碼漏洞,該漏洞讓攻擊者可以在當前使用者的上下文中執行任意程式碼破壞記憶體。成功利用此漏洞的攻擊者可以獲得與當前使用者相同的使用者許可權”,微軟解釋:“如果當前使用者使用管理使用者許可權登入,則成功利用此漏洞的攻擊者可以控制受影響的系統。然後攻擊者可以安裝程式,檢視、更改或刪除資料,或建立具有完全使用者許可權的新帳戶。”

微軟已經使用最新的 Windows 10 累積更新修復了該漏洞,並且還針對 Windows 7 和 Windows 8.1 釋出了安全補丁 KB4483187。

相關推薦

微軟披露 IE 漏洞攻擊可以控制影響系統

   Google 工程師發現 IE 中存在一個漏洞,攻擊者可以通過漏洞完全控制受害作業系統。 據分析,這是一個指令碼引擎記憶體損壞漏洞,影響所有受支援 Windows 上的 IE,包括 Windows 10 1809。該漏洞由 Google 威脅分析組的 Clem

SQLite 被曝存在漏洞所有 Chromium 瀏覽器影響

   SQLite 被曝存在一個影響數千應用的漏洞,受害應用包括所有基於 Chromium 的瀏覽器。 據 ZDNet 報導,該漏洞由騰訊 Blade 安全團隊發現,允許攻擊者在受害者的計算機上執行惡意程式碼,並在危險較小的情況下洩漏程式記憶體或導致程式崩潰。由於 SQLite

比特幣DoS漏洞和超發漏洞技術分析攻擊或無法獲利

上週,bitcoin core 0.16.3 版本客戶端的突然釋出,以及開發者敦促大家儘快升級一事,令比特幣世界的人們感到了驚訝。表面上的原因,在於0.14-0.16.2版本客戶端中存在一個拒絕服務 (DoS) 向量需要被修補。到後來,我們才發現,在0.15-0.16.2版本core客戶端中的另一個

Linux.org 被黑攻擊留下“菊花”警告

   Linux.org 昨日遭到惡意 DNS 劫持,攻擊者將其指向了一個新的頁面,上面包含一些非常粗俗的內容以表達自己對 Linux 社群和 Linux 此前制定的行為準則的不滿。 Linux.org 並不是 Linux 基金會的官方網站,它將自己描述為“一個友好的社群,人

Android作業系統漏洞允許攻擊跟蹤使用者位置

Android作業系統中的一個漏洞允許與WiFi路由器物理接近的攻擊者跟蹤路由器範圍內使用者的位置。 漏洞(CVE-2018-9581)允許程序間通訊,導致資訊洩漏。雖然Android系統上的應用程式通常由作業系統彼此隔離,同時各應用與作業系統本身隔離,但在需要時在它們之間

Linux.org被黑攻擊留下“菊花”警告

今天,linux.org被黑客攻擊,且網站內被植入了不堪入目的圖片。 linux.org在國外社交媒體上釋出了兩條公告,第一條公告表示,該問題看上去是因為DNS被攻擊,很快發起調查,關閉了我們的生產環境以確保資料安全。第二條公告稱,黑客進入了合作伙伴的賬號,並且說黑客是“指令碼小子”,

蟻劍xss漏洞獲取***shell

stdout 當我 .com buffer ash ges 沒事 深入 get 今日在github上看到蟻劍暴露了一個xss漏洞,自己也經常使用蟻劍。同時在freebuf上也有一篇文章,關於蟻劍漏洞的。閑著沒事測試了一波。 一、漏洞成因 蟻劍shell遠程連接失敗時,蟻劍會

以太坊Token合約驚現“古老”溢位漏洞多家交易所受到影響

事件 本週四凌晨(2018年12月27日),降維安全實驗室(johnwick.io)自主研發的"智子"區塊鏈威脅感知預警系統監控到某知名ERC20合約遭到黑客攻擊, 黑客利用該合約批量轉賬中存在的整數溢位問題,向黑客受控賬戶"增發"了115,792,089,237,316,000,000

只針對子目錄添加執行權限文件不影響

目錄 .com 文件 mage dirname chmod image name 執行權 chmod -R a=rwX Dirname 遞歸,只影響子目錄,不影響文件 只針對子目錄添加執行權限,文件不受影響

AHK-Tab++框架(用Tab做修飾鍵其他功能可不影響) v1.1.0

com span 框架 想法 作者 end 應該 utl input ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ; 腳本名稱

斷電9小時600萬人影響什麼天氣這麼可怕?

11月29日訊息,@北京商報從度小滿金融人士處獲悉,百度正式拿到准許經營證券期貨的許可證。據許可證顯示,機構名稱為北京百度百盈科技有限公司(下稱“百度百盈”),證券期貨業務經營範圍為基金銷售。而今年8月22日,根據北京證監局官網顯示,證監局已核准百度百盈證券投資基金銷售業務資格。 企查查資訊顯示,百度百盈成

最新Zip壓縮文件漏洞黑客可以觸發目錄遍歷攻擊

AS 文件覆蓋 使用 用戶添加 owas 代碼 項目 一個 人員   近日,國內某安全公司研究人員透露了一個關鍵漏洞的詳細信息,該漏洞影響了許多生態系統中的數千個項目,黑客可以利用這些漏洞在目標系統上實現代碼執行。   黑客是如何通過Zip壓縮文件入侵攻擊?被稱為“Zip

谷歌瀏覽器存嚴重漏洞黑客能夠劫持和註入攻擊

也會 跨站點 img 建議 更新 技術 推出 splay 資源   谷歌安全研究人員Micha?Bentkowski在5月下旬發現並報告了谷歌瀏覽器存在嚴重漏洞,影響所有主要操作系統(包括Windows,Mac和Linux)的網頁瀏覽軟件。   Chrome安全團隊指出:

sql註入學習筆記什麽是sql註入如何尋找漏洞如何註入攻擊如何預防註入

產生 回收 異常 學習 .com 就會 inf get 識別 什麽是SQL註入 如何理解sql註入? sql註入是一種將sql代碼添加到輸入參數中,傳遞到sql服務器解析並執行的一種攻擊手法 示例: 本地一段代碼為get獲取id值,輸出實際

微軟釋出Windows SDK通過Windows 10應用控制大疆無人機

微軟今天在公開預覽版中推出了Windows SDK,供開發人員製作可以控制大疆無人機的Windows 10應用程式。機器人元件、感測器或執行器等可能包含在無人機中的硬體也可以使用SDK進行整合。 微軟還宣佈了AirMap,這是一項幫助使用者遵守當地法律並避免與其他無人機發生衝突的服務,它將

最新Zip壓縮檔案漏洞黑客可以觸發目錄遍歷攻擊

  近日,國內某安全公司研究人員透露了一個關鍵漏洞的詳細資訊,該漏洞影響了許多生態系統中的數千個專案,黑客可以利用這些漏洞在目標系統上實現程式碼執行。  黑客是如何通過Zip壓縮檔案入侵攻擊?被稱為“ZipSlip”的問題是一個任意的檔案覆蓋漏洞,在從檔案檔案中提取檔案時觸發

綠盟對上線專案進行掃描目標URL存在http host的頭攻擊漏洞解決方案和驗證

近期在使用綠盟對線上專案進行安全掃描時,發現系統存在host頭攻擊漏洞。在此記錄解決的過程以便後期回顧上述問題出現的原因為在專案中使用了 request.getServerName 導致漏洞的出現 不要使用request中的serverName,也就是說host header

驚!ZABBIX存高危漏洞無需授權登陸即可完成控制

8月16日,由三矛科技的外部威脅情報檢測模組在fulldisclosure發現 8月17日,三矛科技通過微信公眾號對該漏洞首次正式預警 漏洞概述 zabbix是一個開源的企業級效能監控解決方案。 官方網站:http://www.zabbix.com zabbix的jsrpc的profileIdx2引數存在in

MySQL曝中間人攻擊Riddle漏洞可致用戶名密碼洩露

針對MySQL 5.5和5.6版本的Riddle漏洞會經由中間人攻擊洩露使用者名稱密碼資訊。請儘快更新到5.7版本。 Riddle漏洞存在於DBMS Oracle MySQL中,攻擊者可以利用漏洞和中間人身份竊取使用者名稱和密碼。 “Riddle是一個在Oracle MySQL 5.5和5.6客戶

IE的安全設定中設成“啟用執行下載activeX控制元件”程式控制的實現的原理

(1)IE的安全屬性設定是放置在登錄檔的以下位置的: HKEY_USERS\UserName\Software\Microsoft\Windows\CurrentVersion\Internet Se