国家漏洞库CNNVD：关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，包括MS XML 远程执行代码漏洞（CNNVD-201810-294、CVE-2018-8494）、Windows Hyper-V 远程执行代码漏洞（CNNVD-201810-327、CVE-2018-8490）等多个漏洞。成功利用上述安全漏洞的攻击者，可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

  一、漏洞介绍

  本次漏洞公告涉及Microsoft Edge、Internet Explorer、Microsoft脚本引擎、Windows Hyper-V、Chakra 脚本引擎等Windows平台下应用软件和组件。漏洞详情如下：

  1、 Internet Explorer 内存损坏漏洞（CNNVD-201810-297、CVE-2018-8491）、（CNNVD-201810-300、CVE-2018-8460）

  漏洞简介：Internet Explorer部分版本存在远程代码执行漏洞，当Internet Explorer不正确地访问内存中的对象时，可触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

  2、 Microsoft Edge 内存损坏漏洞（CNNVD-201810-292、CVE-2018-8473）、（CNNVD-201810-302、CVE-2018-8509）

  漏洞简介：当 Microsoft Edge 不正确地访问内存中的对象时会触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

  3、 Microsoft Edge 内存损坏漏洞（CNNVD-201810-327、CVE-2018-8490）、（CNNVD-201810-328、CVE-2018-8489）

  漏洞简介：当主机服务器上的 Windows Hyper-V 无法正确验证用户操作系统上经身份验证的用户的输入时，存在远程代码执行会触发该漏洞。成功利用此漏洞的攻击者可以执行任意代码。

  4、 Chakra 脚本引擎内存损坏漏洞（CNNVD-201810-303、CVE-2018-8500）、（CNNVD-201810-307、CVE-2018-8505）、（CNNVD-201810-309、CVE-2018-8511）、（CNNVD-201810-310、CVE-2018-8510）、（CNNVD-201810-334、CVE-2018-8513）

  漏洞简介：Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的方式中时存在远程代码执行可能触发漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，攻击者便可以控制受影响的系统。攻击者可任意安装程序、查看、更改或删除数据、或者创建新帐户。

  5、 MS XML 远程执行代码漏洞（CNNVD-201810-294、CVE-2018-8494）

  漏洞简介：当 Microsoft XML Core Services MSXML 分析器处理用户输入时，存在代码远程执可能触发该行漏洞。成功利用此漏洞的攻击者可以远程运行恶意代码控制用户的系统。

  二、修复建议

  目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方链接地址如下：

  更多漏洞信息，可参考：https://support.microsoft.com/en-us/help/20181009/security-update-deployment-information-october-9-2018

  CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

  联系方式: cnnvd@itsec.gov.cn