等保门户网：测评整改

Microsoft 2018年03月重要安全更新提醒

来源：admin 发布日期：2018-03-30

03月13日，微软发布了2018年03月份的月度例行安全公告，其中包含了3个远程代码执行漏洞，漏洞编号分别为CVE-2018-0886、CVE-2018-0872、CVE-2018-0922。

利用上述漏洞，攻击者可以执行远程代码，提升权限，欺骗，绕过安全功能限制，获得敏感信息或进行拒绝服务攻击等。建议广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

CVE编号

公告标题和摘要

最高严重等级和漏洞影响

受影响的软件

CVE-2018-0886

Microsoft CredSSP远程代码执行漏洞

攻击者针对远程桌面协议（RDP）会话运行经特殊设计的应用程序和MiM。

依赖安全凭证支持提供程序协议（CredSSP）进行身份验证的任何应用程

序可能容易受到此类攻击。

重要

远程执行代码

Windows 10

Windows 7

Windows 8.1

Windows RT 8.1

Server 2008

Server 2008 R2

Server 2012

Server 2012 R2

Server 2016

Server 1709

CVE-2018-0872

Microsoft Scripting Engine远程执行代码漏洞

攻击者可以托管一个特制的网站，通过受影响的Microsoft浏览器，然后说服用

户查看网站。攻击者还可以利用受损网站或通过添加可能利用此漏洞的特制内

容来接受或托管用户提供的内容或广告的网站。攻击者还可以嵌入一个标记为

“安全的”的ActiveX控件应用程序或Office文档中承载IE或Edge渲染引擎的初始化

。

严重

远程执行代码

Microsoft Edge

ChakraCore

CVE-2018-0922

Microsoft Office远程代码执行漏洞

利用这些漏洞需要用户打开受影响的Microsoft Office软件版本的特制文件。攻击

者使用该漏洞托管恶意网站，然后说服用户访问该网站或攻击者利用其他提供商

托管广告的受损网站。

重要

远程执行代码

Office 2010

Word 2007/2010/2013

SharePoint 2010/2013

Office Online Server

Office Web Apps

Office Compat Pack

Word Viewer

CVE-2018-0909

Microsoft SharePoint权限提升漏洞

成功利用此漏洞的攻击者可以对受影响的系统执行跨站点脚本攻击，并在当前用

户的安全上下文中运行脚本。

重要

权限提升

SharePoint Enterprise

Server 2016

Project Server 2013

CVE-2018-0940

Microsoft Exchange Outlook Web权限提升漏洞

当Microsoft Exchange Outlook Web(OWA)未能正确清理访问用户的链接时存在

权限提升漏洞。成功利用此漏洞可能会用假登录页面否决OWA界面，并企图欺

骗用户披露敏感信息。

重要

权限提升

Exchange 2010

Exchange 2013

Exchange 2016

CVE-2018-0924

Microsoft Exchange Outlook Web信息泄露漏洞

如果受影响的用户正在使用Microsoft Exchange Outlook Web（OWA）策略，则

该漏洞可能允许攻击者发现未经披露的敏感信息，例如用户的OWA servise的

URL。网址重定向。

重要

信息泄露

Exchange 2010

Exchange 2013

Exchange 2016

CVE-2018-0941

Microsoft Exchange Outlook Web信息泄露漏洞

在Microsoft Exchange服务器处理导入数据的方式中存在一个信息披露漏洞。如果

受影响的用户使用Microsoft Exchange Outlook Web（OWA），则该漏洞可能允许

攻击者发现未经披露的敏感信息。利用该漏洞攻击者会将特制文件上传到OWA。

重要

信息泄露

Exchange 2016

CVE-2018-0787

Microsoft ASP.NET Core权限提升漏洞

取决于目标用户电子邮件客户端，注入HTML到web应用程序。通过专门制作的请

求将启动对目标用户的“密码重置”。只要目标用户打开“密码重置”的电子邮件就可

以触发该漏洞。

重要

权限提升

Microsoft ASP.NET Core

CVE-2018-0808

Microsoft ASP.NET Core拒绝服务漏洞

未经身份验证的远程攻击者可以利用此漏洞通过向.NET Core应用程序发出特制

请求。

重要

拒绝服务

Microsoft ASP.NET Core

CVE-2018-0875

Microsoft .NET Core拒绝服务漏洞

为了利用此漏洞，攻击者可以将少量特制请求发送到.NET Core Web应用程序，

从而导致性能显着下降，从而导致拒绝服务状况。

重要

拒绝服务

Microsoft .NET Core.

修复方案：

默认情况下，Windows10会自动接收这些更新提醒，对于以前版本的客户，建议打开自动更新。更多详情参见：https://portal.msrc.microsoft.com/en-us/security-guidance

https://blogs.technet.microsoft.com/msrc/2018/03/13/march-2018-security-update-release/

来源：CSPEC 立体防护

【关闭】【打印】

您是第 47409064 位访问者
沪ICP备 12039260号

CVE编号	公告标题和摘要	最高严重等级和漏洞影响	受影响的软件
CVE-2018-0886	Microsoft CredSSP远程代码执行漏洞攻击者针对远程桌面协议（RDP）会话运行经特殊设计的应用程序和MiM。依赖安全凭证支持提供程序协议（CredSSP）进行身份验证的任何应用程序可能容易受到此类攻击。	重要远程执行代码	Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Server 2008 Server 2008 R2 Server 2012 Server 2012 R2 Server 2016 Server 1709
CVE-2018-0872	Microsoft Scripting Engine远程执行代码漏洞攻击者可以托管一个特制的网站，通过受影响的Microsoft浏览器，然后说服用户查看网站。攻击者还可以利用受损网站或通过添加可能利用此漏洞的特制内容来接受或托管用户提供的内容或广告的网站。攻击者还可以嵌入一个标记为 “安全的”的ActiveX控件应用程序或Office文档中承载IE或Edge渲染引擎的初始化。	严重远程执行代码	Microsoft Edge ChakraCore
CVE-2018-0922	Microsoft Office远程代码执行漏洞利用这些漏洞需要用户打开受影响的Microsoft Office软件版本的特制文件。攻击者使用该漏洞托管恶意网站，然后说服用户访问该网站或攻击者利用其他提供商托管广告的受损网站。	重要远程执行代码	Office 2010 Word 2007/2010/2013 SharePoint 2010/2013 Office Online Server Office Web Apps Office Compat Pack Word Viewer
CVE-2018-0909	Microsoft SharePoint权限提升漏洞成功利用此漏洞的攻击者可以对受影响的系统执行跨站点脚本攻击，并在当前用户的安全上下文中运行脚本。	重要权限提升	SharePoint Enterprise Server 2016 Project Server 2013
CVE-2018-0940	Microsoft Exchange Outlook Web权限提升漏洞当Microsoft Exchange Outlook Web(OWA)未能正确清理访问用户的链接时存在权限提升漏洞。成功利用此漏洞可能会用假登录页面否决OWA界面，并企图欺骗用户披露敏感信息。	重要权限提升	Exchange 2010 Exchange 2013 Exchange 2016
CVE-2018-0924	Microsoft Exchange Outlook Web信息泄露漏洞如果受影响的用户正在使用Microsoft Exchange Outlook Web（OWA）策略，则该漏洞可能允许攻击者发现未经披露的敏感信息，例如用户的OWA servise的 URL。网址重定向。	重要信息泄露	Exchange 2010 Exchange 2013 Exchange 2016
CVE-2018-0941	Microsoft Exchange Outlook Web信息泄露漏洞在Microsoft Exchange服务器处理导入数据的方式中存在一个信息披露漏洞。如果受影响的用户使用Microsoft Exchange Outlook Web（OWA），则该漏洞可能允许攻击者发现未经披露的敏感信息。利用该漏洞攻击者会将特制文件上传到OWA。	重要信息泄露	Exchange 2016
CVE-2018-0787	Microsoft ASP.NET Core权限提升漏洞取决于目标用户电子邮件客户端，注入HTML到web应用程序。通过专门制作的请求将启动对目标用户的“密码重置”。只要目标用户打开“密码重置”的电子邮件就可以触发该漏洞。	重要权限提升	Microsoft ASP.NET Core
CVE-2018-0808	Microsoft ASP.NET Core拒绝服务漏洞未经身份验证的远程攻击者可以利用此漏洞通过向.NET Core应用程序发出特制请求。	重要拒绝服务	Microsoft ASP.NET Core
CVE-2018-0875	Microsoft .NET Core拒绝服务漏洞为了利用此漏洞，攻击者可以将少量特制请求发送到.NET Core Web应用程序，从而导致性能显着下降，从而导致拒绝服务状况。	重要拒绝服务	Microsoft .NET Core.

Microsoft 2018年03月重要安全更新提醒

【关闭】 【打印】

【关闭】【打印】