仅一份邮件就能利用Exchange 服务器漏洞？

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

微软发布2019年首个补丁星期二，修复了49个CVE漏洞并发布两个安全公告。

微软发布的“补丁星期二”修复了Windows 10、Exchange服务器和Hyper-V等中的严重漏洞。这49个漏洞修复方案针对的是DHCP中的多个远程代码执行漏洞(CVE-2019-0547)和Exchange服务器中的一个内存损坏缺陷(CVE-2019-0586)。

趋势科技ZDI团队的研究员Dustin Childs警告称，仅需向易受攻击的服务器发送一份邮件，就能利用Exchange服务器中存在的这个漏洞。他解释称，“这是个问题，因为接收邮件是Exchange工作的一大部分。微软认为这个漏洞属于‘重要’级别，但对我而言，仅发送一封邮件就能控制Exchange服务器，可将其归类为严重级别。如果你在用Exchange服务器，那么在测试和部署清单上一定要将其排在前几位。”

其中有一个漏洞已被公开。该漏洞(CVE-2019-0579)是存在于Windows Jet数据库引擎中的一个远程代码执行漏洞，可通过诱骗受害者打开某个特别构造的文件遭利用。

另外需要优先打补丁的漏洞还包括CVE-2019-0550和CVE-2019-0551，它们是存在于Windows Hyper-V中的远程代码执行漏洞。它们均可导致guest虚拟机在底层主机机器上执行利用代码。

上周，研究员Florian Kunushevci指出，安卓版Skype存在漏洞CVE-2019-0622，可导致用户绕过锁屏并访问照片和通讯录详情等。

和往常一样，微软发布的重要修复方案针对的是Edge和IE浏览器脚本引擎中出现的远程代码执行漏洞。Jet数据库也是本月的修复热点之一，共存在10个远程代码执行漏洞（包括此前提到的CVE-2019-0579）。

Office中也修复了一些漏洞，包括Word中的一个远程代码执行漏洞(CVE-2019-0585)、Exchange中的信息泄漏漏洞(CVE-2019-0588)和SharePoint中的三个跨站点脚本漏洞。

Flash 本月无漏洞

Adobe在本月未发布针对Flash的漏洞修复方案，而是对Flash的Mac、Windows、Linux和Chrome操作系统版本发布了一些性能和稳定性修复方案。

另外，Adobe还发布了针对存在于Windows、Mac、iOS和安卓版本的Digital Editions中的一个信息泄漏漏洞补丁，以及针对Connect中存在的一个令牌暴露缺陷补丁。

https://www.theregister.co.uk/2019/01/08/patch_tuesday_january/