微软2017年11月安全公告

2017-11-16 11:17:36

安全公告编号:CNTA-2017-0079

11月14日,微软发布了2017年11月份的月度例行安全公告,修复了其多款产品存在的129个安全漏洞。受影响的产品包括Windows 10 v1709(11个)、Windows 10 v1703(11个)、Windows 10 v1607 and WindowsServer 2016(11个)、Windows 10 RTM(11个)、Windows 8.1 and Windows Server2012 R2(10个)、Windows Server 2012(11个)、Windows 7 and Windows Server 2008R2(11个)、Windows Server 2008(10个)、Internet Explorer (12个)、Microsoft Edg(25个)和Office(6个)。

利用上述漏洞,攻击者可以执行远程代码,提升权限,获得敏感信息或进行拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

CVE编号 公告标题和摘要 最高严重等级和
漏洞影响
受影响的软件
CVE-2017-11827 Microsoft Browser远程代码执行漏洞
攻击者可以托管一个特制的网站,然后说服用户查看网站。攻击者还可以利用受损网站或通过添加可能利用此漏洞的特制内容来接受或托管用户提供的内容或广告的网站。
重要
远程执行代码
Microsoft Windows
Microsoft Edge
Internet Explorer
CVE-2017-11848 Microsoft Internet Explorer信息泄露漏洞
IE未能正确处理页面内容时存在信息泄露漏洞,攻击者检测到用户的导航,并留下恶意制作的页面。攻击者可以托管一个特制的网站,通过IE浏览器,然后说服用户浏览该网站。攻击者还可以通过受影响的网站或通过添加可能利用此漏洞的特制内容来接受或托管用户提供的内容或广告的网站。
次要
信息泄露
Internet Explorer
CVE-2017-11882 Microsoft Office远程代码执行漏洞
利用这些漏洞需要用户打开受影响的Microsoft Office软件版本的特制文件。攻击者使用该漏洞托管恶意网站,然后说服用户访问该网站或攻击者利用其他提供商托管广告的受损网站和/或网站。
重要
远程执行代码
Microsoft Office
CVE-2017-11876
Microsoft Project Server权限提升漏洞
Microsoft Project Server中存在权限提升漏洞由于未能正确管理用户会话。 对于这个跨站请求伪造(CSRF/XSRF),经身份认证的攻击者可以托管一个网站(或者利用一个受到威胁的网站接受或托管用户提供的内容),其中包含特制的网页利用此漏洞。
重要
权限提升
Microsoft Project Server
SharePoint Enterprise
CVE-2017-11879
Microsoft ASP.NET Core权限提升漏洞
当经过身份验证的用户点击该链接时,浏览器会话可能会被重定向到恶意网站,利用该漏洞窃取登录会话信息(例如cookie或身份验证令牌)。
重要
权限提升
Microsoft ASP.NET Core
CVE-2017-8700 Microsoft ASP.NET Core信息泄露漏洞
ASP.NET Core中存在信息泄露漏洞,允许绕过跨源资源共享(CORS)配置。成功利用此漏洞的攻击者可以从Web应用程序中检索通常被限制的内容。
次要
信息泄露
Microsoft ASP.NET Core
CVE-2017-11770 Microsoft .NET Core拒绝服务漏洞
.NET Core未能正确地处理Web请求时存在拒绝服务漏洞。成功利用此漏洞可能会导致对.NET Core Web应用程序的拒绝服务。该漏洞可被远程利用。
重要
拒绝服务
Microsoft .NET Core

参考信息:

https://portal.msrc.microsoft.com/en-us/security-guidance