CH azonosító
CH-14530Angol cím
Microsoft Patch Tuesday, December 2018Felfedezés dátuma
2018.12.12.Súlyosság
KritikusÉrintett rendszerek
Acrobat ReaderAcrobat XI
Adobe
Edge
Excel
Internet Explorer
Microsoft
Office
Outlook
Word
Érintett verziók
Windows
Összefoglaló
A Microsoft kiadta a 2018. december havi frissítőcsomagját, amely a termékcsaládon belül összesen 38 sérülékenységet – ebből 9 kritikus kockázati besorolású – javítja. Egy most javított sérülékenységet már aktívan kihasználnak a támadók.
Leírás
A sérülékenységeket kihasználva a támadók bizalmas információkhoz férhetnek hozzá, megkerülhetik a biztonsági előírásokat, emelt szintű jogosultságokat szerezhetnek, memória korrupciót idézhetnek elő, vagy akár tetszőleges kódot hajthatnak végre a sérülékeny rendszereken.
A nulladik napi sebezhetőség (CVE-2018-8611) egy Windows kernel hibára alapoz, mely sikeres kihasználása esetén a támadó emelt szintű jogosultságot szerezhet, majd ezzel akár kernel módban tetszőleges kódot futtathat az érintett gépen. A sérülékenységben minden Windows 7 és Windows server 2019 közötti Microsoft termék érintett, és a hibát felfedező vállalat szerint a támadók már aktívan kihasználják.
Az Adobe Acrobat és az Adobe Acrobat Reader szoftverek kritikus kockázati besorolású sérülékenységei váltak ismertté, amiket kihasználva a támadók tetszőleges kódot futtathatnak az érintett rendszeren.
A sérülékenységek az alábbi szoftvercsaládokat érintik:
- Microsoft Edge
- Internet Explorer
- Microsoft .NET framework
- Microsoft Excel
- Microsoft Outlook
- Microsoft Word
- Microsoft PowerPoint
- Windows DNS server
- Adobe Acrobat
Támadás típusa
Information disclosure (Információ/adat szivárgás)Memory Corruption
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: portal.msrc.microsoft.com
Gyártói referencia: helpx.adobe.com