近日，微軟官方發布了多個安全漏洞的公告，包括Microsoft Internet Explorer 安全漏洞（CNNVD-201812-458、CVE-2018-8619）、Microsoft Excel安全漏洞（CNNVD-201812-466、CVE-2018-8597）等多個漏洞。成功利用上述漏洞可以在目標系統上執行任意代碼。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布漏洞修復補丁，建議用戶及時確認是否受到漏洞影響，采取修補措施。

一、 漏洞介紹

       本次漏洞公告涉及Microsoft Internet Explorer 、Microsoft Outlook 、Microsoft Excel 、Microsoft PowerPoint 、Microsoft VBScript、Chakra 腳本引擎、.NET Framework、Microsoft 文本到語音轉換等Windows平臺下應用軟件和組件。漏洞詳情如下：

       1、Internet Explorer 安全漏洞（CNNVD-201812-458、 CVE-2018-8619）

       漏洞簡介：Internet Explorer部分版本存在遠程代碼執行漏洞，當Internet Explorer VBScript 執行策略未正確限制 VBScript 時，可觸發該漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。

       2、Microsoft Outlook 安全漏洞（CNNVD-201812-469、 CVE-2018-8587）

       漏洞簡介：當 Microsoft Outlook 軟件無法正確處理內存中的對象時，就會觸發該漏洞。攻擊者可以向目標系統發送經過特殊設計的文件，從而在當前用戶權限下執行惡意代碼。

       3、Microsoft Excel安全漏洞（CNNVD-201812-466、 CVE-2018-8597）、（CNNVD-201812-446、 CVE-2018-8636）

       漏洞簡介：當 Microsoft Excel軟件無法正確處理內存中的對象時，就會觸發該漏洞。攻擊者必須誘使用戶使用Microsoft Excel打開經特殊設計的文件，才能利用此漏洞。成功利用此漏洞的攻擊者可以在當前用戶權限下執行惡意代碼。

       4、Microsoft PowerPoint安全漏洞（CNNVD-201812-451、CVE-2018-8628）

       漏洞簡介：當 Microsoft PowerPoint軟件無法正確處理內存中的對象時，就會觸發該漏洞。攻擊者必須誘使用戶使用 Microsoft PowerPoint打開經特殊設計的文件，才能利用此漏洞。成功利用此漏洞的攻擊者可以在當前用戶權限下執行惡意代碼。

       5、Microsoft VBScript安全漏洞（CNNVD-201812-454、CVE-2018-8625）

       漏洞簡介：當 Microsoft VBScript引擎無法正確處理內存中的對象時，就會觸發該漏洞。攻擊者必須誘使用戶使用 Microsoft Internet Explorer打開經特殊設計的網頁或誘使用戶使用Microsoft Office 打開嵌入經特殊設計的 ActiveX 控件的文檔等，才能利用此漏洞。成功利用此漏洞的攻擊者可以在當前用戶權限下執行惡意代碼。

       6、Microsoft .NET Framework安全漏洞（CNNVD-201812-472 、CVE-2018-8540）

       漏洞簡介：當 Microsoft .NET Framework 處理不受信任的輸入時可能會觸發該漏洞。成功利用漏洞的攻擊者可以控制受影響的系統。攻擊者可任意安裝程序、查看、更改或刪除數據、或者創建新帳戶等。

       7、Microsoft 文本到語音轉換程序安全漏洞（CNNVD-201812-448、CVE-2018-8634）

       漏洞簡介：當Microsoft 文本到語音轉換程序無法正確處理內存中的對象時，可能就會觸發該漏洞。成功利用漏洞的攻擊者可以控制受影響的系統。攻擊者可任意安裝程序、查看、更改或刪除數據、或者創建新帳戶等。

       8、Chakra 腳本引擎安全漏洞（CNNVD-201812-450、CVE-2018-8629）、（CNNVD-201812-455、CVE-2018-8624）、（CNNVD-201812-459、CVE-2018-8618）、（CNNVD-201812-460、CVE-2018-8617）、（CNNVD-201812-470、CVE-2018-8583）

       漏洞簡介：Chakra 腳本引擎在 Microsoft Edge 中處理內存中的對象的時可能觸發該漏洞。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理權限登錄，攻擊者便可以任意安裝程序、查看、更改或刪除數據。

       9、Windows權限提升漏洞（CNNVD-201812-442、CVE-2018-8641）、（CNNVD-201812-443、CVE-2018-8639）、（CNNVD-201812-462、CVE-2018-8611）

       漏洞簡介：當Windows內核無法正確處理內存中的對象時，可能就會觸發該漏洞。攻擊者首先必須登錄到系統。然后運行一個經特殊設計的應用程序，才能利用此漏洞。成功利用漏洞的攻擊者可以在內核模式中運行任意代碼。攻擊者可任意安裝程序、查看、更改或刪除數據、或者創建新帳戶等。若要利用此漏洞，

二、修復建議

       目前，微軟官方已經發布補丁修復了上述漏洞，建議用戶及時確認漏洞影響，采取修補措施。微軟官方鏈接地址如下：

       1、Internet Explorer 安全漏洞（CNNVD-201812-458、 CVE-2018-8619）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8619

       2、Microsoft Outlook 安全漏洞（CNNVD-201812-469、 CVE-2018-8587）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8587

       3、Microsoft Excel安全漏洞（CNNVD-201812-466、 CVE-2018-8597）、（CNNVD-201812-446、 CVE-2018-8636）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8597

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8636

       4、Microsoft PowerPoint安全漏洞（CNNVD-201812-451、CVE-2018-8628）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8628

       5、Microsoft VBScript安全漏洞（CNNVD-201812-454、CVE-2018-8625）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8625

       6、Microsoft .NET Framework安全漏洞 （CNNVD-201812-472 、 CVE-2018-8540）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8540

       7、Microsoft 文本到語音轉換程序安全漏洞（CNNVD-201812-448、 CVE-2018-8634）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8634

       8、Chakra 腳本引擎安全漏洞（CNNVD-201812-450、CVE-2018-8629）、（CNNVD-201812-455、 CVE-2018-8624）、（CNNVD-201812-459、 CVE-2018-8618）（ CNNVD-201812-460、 CVE-2018-8617）、（CNNVD-201812-470、 CVE-2018-8583）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8617

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8618

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8624

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8629

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8583

       9、Windows權限提升漏洞（CNNVD-201812-442、 CVE-2018-8641）、（CNNVD-201812-443、 CVE-2018-8639）、（CNNVD-201812-462、 CVE-2018-8611）

       官方鏈接：

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8641

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8639

       https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8611

       CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。

       聯系方式: cnnvd@itsec.gov.cn