微软发布2019年10月补丁周二更新

本月的补丁更新的好处是，经过很长一段时间后，这家科技巨头本月修补的安全漏洞没有一个被列为公开已知或受到主动攻击。

此外，本月Windows update中没有捆绑的Adobe Flash Player的升级补丁。

除此之外，微软还为Windows 7和Windows Server 2008 R2用户发布了一份通知，提醒他们，对这两个操作系统的扩展支持将在未来两个月内结束，他们将从2020年1月14日起不再收到更新。

本月修补的两个关键漏洞是VBScript引擎中的远程代码执行缺陷，这两个漏洞都存在于VBScript处理内存中对象的方式中，允许攻击者破坏内存并在当前用户的上下文中执行任意代码。

这两个漏洞被追踪为CVE-2019-1238和CVE-2019-1239，通过诱骗受害者通过Internet Explorer访问精心制作的网站，可以远程利用这两个漏洞。

攻击者还可以使用应用程序或Microsoft Office文档，通过嵌入标记为“初始化安全”的ActiveX控件，利用Internet Explorer渲染引擎，利用这些问题进行攻击。

与最近几个月一样，微软修补了另一个反向RDP攻击，攻击者可以利用Windows内置远程桌面客户端应用程序中的一个关键远程代码执行漏洞，控制连接到恶意RDP服务器的客户端计算机。

不同于可攻击的BraveStor漏洞，新修补的RDP漏洞是客户端，这要求攻击者欺骗受害者通过社交工程、DNS中毒或使用中间人（MITM）技术连接到恶意RDP服务器。

三个关键的RCE漏洞是内存损坏缺陷，存在于Chakra脚本引擎在Microsoft Edge中处理内存中对象的方式中，而一个关键的RCE漏洞是权限提升问题，当Azure Stack上的Azure App Service在将内存复制到缓冲区之前未能检查缓冲区的长度时，就会出现此问题。

Microsoft本月修补并标记为重要的其他漏洞存在于以下Microsoft产品和服务中：

• 微软视窗
• Internet Explorer
• 微软边缘
• 脉轮
• Microsoft Office、Office服务和Web应用
• SQL Server管理工作室
• 开源软件
• Microsoft Dynamics 365
• Windows更新助手

这些漏洞中的大多数允许提升权限，有些还导致远程代码执行攻击，而另一些则允许信息泄露、跨站点脚本（XSS）、安全功能绕过、欺骗、篡改和拒绝服务攻击。

强烈建议Windows用户和系统管理员尽快应用最新的安全补丁，以防止网络犯罪分子和黑客控制他们的计算机。

要安装最新的Windows安全更新，您可以进入设置→；更新及；安全；Windows Update→；检查电脑上的更新，或者手动安装更新。