专栏名称: 国家互联网应急中心CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。

Microsoft发布2018年8月安全更新

国家互联网应急中心CNCERT · 公众号 · · 2018-08-20 16:56

正文

安全公告编号:CNTA-2018-0024

8月 14 日，微软发布了 2018 年 8 月份的月度例行安全公告，修复了其多款产品存在的 155 个安全漏洞。受影响的产品包括 Windows 10 v1803 and Server 2016 （ 24 个）、 Windows 10 v1709 （ 24 个）、 Windows 10 v1703 （ 22 个）、 Windows 8.1 and Windows Server2012 R2 （ 14 个）、 Windows Server 2012 （ 12 个）、 Windows 7 and Windows Server 2008R2 （ 16 个）、 Windows Server 2008 （ 12 个）、 Internet Explorer （ 9 个）、 Microsoft Edge （ 16 个）和 Microsoft Office （ 6 个）。

利用上述漏洞，攻击者可以执行远程代码，提升权限，欺骗，绕过安全功能限制，获得敏感信息或进行拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

CVE编号

公告标题和摘要

最高严重等级和漏洞影响

受影响的软件

CVE-2018-8414

Microsoft Windows Shell 远程代码执行漏洞

当 Windows Shell 未正确验证文件路径时，存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户以管理员身份登录，则攻击者可以控制受影响的系统。然后攻击者可以安装程序 ; 查看，更改或删除数据 ; 或使用提升的权限创建新帐户。帐户被配置为拥有较少系统用户权限的用户可能比使用管理用户权限的用户受到的影响要小。

重要

远程执行代码

Windows 10

Server 2016

CVE-2018-8344

Microsoft Internet Explorer 远程内存破坏漏洞

当 Windows 字体库未能正确地处理特制嵌入字体时，存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序 ; 查看，更改或删除数据 ; 或创建具有完全用户权限的新帐户。帐户被配置为拥有较少系统用户权限的用户可能比使用管理用户权限的用户受到的影响要小。

严重

远程执行代码

Windows 10

Windows 7

Windows 8.1

Windows RT 8.1

Server 2008

Server 2008 R2

Server 2012

Server 2012 R2

Server 2016

CVE-2018-8373

Microsoft Office 远程代码执行漏洞

脚本引擎在 Internet Explorer 中处理内存对象的方式中存在一个远程执行代码漏洞。该漏洞可能会破坏攻击者，使得攻击者可以在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序 ; 查看，更改或删除数据 ; 或创建具有完全用户权限的新帐户。

严重

远程执行代码

Internet Explorer 9

Internet Explorer 10

Internet Explorer 11

CVE-2018-8375

Microsoft Excel 远程代码执行漏洞

当软件未能正确处理内存中的对象时， Microsoft Excel 软件中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录，则攻击者可以控制受影响的系统。然后攻击者可以安装程序

Microsoft发布2018年8月安全更新

正文

请到「今天看啥」查看全文