Microsoft januári frissítések


2018. január 10. 10:04

CH azonosító

CH-14340

Angol cím

Microsoft Patch Tuesday

Felfedezés dátuma

2018.01.08.

Súlyosság

Kritikus

Érintett rendszerek

.NET Framework
Adobe
Flash Player
Microsoft
Office
SharePoint Server

Érintett verziók

Adobe Flash Player
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2007 Service Pack 3
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2016 (64-bit edition)
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2007 Service Pack 3
Microsoft Word 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2010 Service Pack 2 (32-bit editions)
Microsoft Word 2013 Service Pack 1 (32-bit editions)
Microsoft Word 2013 RT Service Pack 1
Microsoft Word 2016 (64-bit edition)
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6.2/4.7
Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7
.NET Core 1.1
.NET Core 1.0
.NET Core 2.0
Microsoft .NET Framework 4.7.1
ASP.NET Core 2.0
Microsoft SharePoint Server 2010 Service Pack 2
Microsoft SharePoint Foundation 2010 Service Pack 2
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2010 Service Pack 2 (64-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2010 Service Pack 2 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office Online Server 2016
Microsoft Office 2016 for Mac
Microsoft Excel 2010 Service Pack 2 (64-bit editions)
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel Viewer 2007 Service Pack 3
Microsoft Excel 2010 Service Pack 2 (32-bit editions)
Microsoft Excel 2013 RT Service Pack 1
Microsoft Excel 2013 Service Pack 1 (64-bit editions)
Microsoft Excel 2007 Service Pack 3
Microsoft Excel 2013 Service Pack 1 (32-bit editions)
Microsoft Excel 2016 (64-bit edition)
Microsoft Excel 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Excel 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Office Web Apps Server 2013 Service Pack 1
Microsoft Office Web Apps 2010 Service Pack 2
Microsoft Office Word Viewer

Összefoglaló

A Microsoft szoftverek számos sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információhoz férhetnek hozzá, szolgáltatásmegtagadást idézhetnek elő, emelt szintű jogosultságokat szerezhetnek, XSS vagy CSRF támadásokat indíthatnak, email címeket hamisíthatnak, vagy tetszőleges kódot futtathatnak az áldozat rendszerén.

Leírás

  • A Microsoft Office (Word, Excel) több távoli kódfuttatási sérülékenységét jelentették, amelyek a memóriában lévő objektumok nem megfelelő kezelése során jelentkeznek. Ezt kihasználva egy támadó tetszőleges kódot futtathat az áldozat rendszerén a bejelentkezett felhasználó jogosultságával. A sérülékenység kihasználása egy speciálisan megszerkesztett Office állománnyal lehetséges.
  • A Microsoft Access egy XSS sérülékenységét jelentették, amely a Tervező nézetben (Design view) a kép mezőknek átadott bemenő adatok nem megfelelő megtisztítása miatt lép fel. A sérülékenység sikeres kihasználása Javascript kód végrehajtását teszi lehetővé a bejelentkezett felhasználó nevében.
  • A .NET és a .NET Core egy sérülékenysége miatt – amely az XML dokumentumok nem megfelelő feldolgozása miatt lép fel – szolgáltatásmegtagadást (DoS) lehet előidézni. A sérülékenységet egy távoli, nem hitelesített támadó egy speciálisan elkészített kérés elküldésével tudja kiváltani.
  • Az ASP.NET Core egy sérülékenységét kihasználva a támadó emelt szintű jogosultságokat szerezhet, ha a bejelentkezett felhasználó megnyit egy káros tartalmú hivatkozást. A sérülékenységet a webes kérések nem megfelelő megtisztítása okozza, ha egy hibás projekt sablonból készült az alkalmazás.
  • Az ASP.NET Core alkalmazásokban egy Cross Site Request Forgery (CSRF) található, ha az alkalmazás egy hibás projekt sablonból készült. A sérülékenységet kihasználva a támadó módosítani tudja az áldozat visszaállító kódját, így ha az használni akarja a kétfaktoros hitelesítést, nem lesz képes rá.
  • A .NET keretrendszer és a .NET Core egy sérülékenységét kihasználva egy támadó meg tudja kerülni a biztonsági előírásokat. A támadónak lehetősége van olyan tanúsítványt használni, amely ugyan érvénytelen, de a rendszer bizonyos esetekben elfogadja. A művelet figyelmen kívül hagyja az Enhanced Key Usage jelölést.
  • A Microsoft SharePoint Server több sérülékenységét kihasználva – amely az érintett szervernek küldött, nem megfelelően megtisztított kérések feldolgozása során keletkezik – emelt szintű jogosultságokat lehet szerezni. A sérülékenységek sikeres kihasználásával a hitelesített támadó XSS támadást hajthat végre, illetve script kódot futtathat a bejelentkezett felhasználó jogosultságaival.
  • A Microsoft Outlook több sérülékenységét kihasználva – egy speciálisan megszerkesztett email üzenet segítségével – a támadó kódot futtathat az áldozat rendszerén és teljesen átveheti felette az irányítást.
  • A Microsoft Office olyan sérülékenységét jelentették, amelyet kihasználva a támadó a bejelentkezett felhasználó nevében tetszőleges kódot futtathat. A sérülékenységet az RTF fájlok kezelésében lévő hiba okozza, és egy speciálisan elkészített állománnyal lehet kihasználni.
  • A Microsoft Outlook for MAC egy sérülékenységét kihasználva hamisítani lehet egy üzenet feladóját, ami social engineering vagy adathalász támadásokhoz vezethet.
  • Az Adobe Flash Player olyan sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Authentication Issues (Hitelesítés)
Input Validation

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0798 - NVD CVE-2018-0798

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0799 - NVD CVE-2018-0799

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0801 - NVD CVE-2018-0801

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0802 - NVD CVE-2018-0802

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0804 - NVD CVE-2018-0804

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0805 - NVD CVE-2018-0805

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0806 - NVD CVE-2018-0806

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0764 - NVD CVE-2018-0764

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0784 - NVD CVE-2018-0784

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0785 - NVD CVE-2018-0785

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0786 - NVD CVE-2018-0786

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0789 - NVD CVE-2018-0789

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0790 - NVD CVE-2018-0790

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0791 - NVD CVE-2018-0791

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0792 - NVD CVE-2018-0792

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0793 - NVD CVE-2018-0793

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0794 - NVD CVE-2018-0794

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0795 - NVD CVE-2018-0795

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0796 - NVD CVE-2018-0796

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0797 - NVD CVE-2018-0797

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0807 - NVD CVE-2018-0807

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0812 - NVD CVE-2018-0812

Gyártói referencia: portal.msrc.microsoft.com
CVE-2018-0819 - NVD CVE-2018-0819

Gyártói referencia: helpx.adobe.com
Gyártói referencia: support.microsoft.com
CVE-2018-4871 - NVD CVE-2018-4871

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »