微软2018年6月补丁周二推出11个关键安全更新

微软今天发布了50多个漏洞的安全补丁更新，影响Windows、Internet Explorer、Edge、MS Office、MS Office Exchange Server、ChakraCore和Adobe Flash Player，其中11个被评为严重，39个被评为严重。

这些漏洞中只有一个是脚本引擎中的远程代码执行漏洞（CVE-2018-8267），在发布时被列为已知漏洞。然而，没有一个缺陷被列为主动攻击。

安全研究人员Dmitri Kaslov发现了这个众所周知的漏洞，它是一个影响Microsoft Internet Explorer的远程内存损坏问题。

IE渲染引擎中存在该漏洞，当它无法正确处理错误对象时会触发该漏洞，从而允许攻击者在当前登录用户的上下文中执行任意代码。

微软还解决了Cortana Smart Assistant中的一个重要漏洞，该漏洞允许任何人解锁你的Windows电脑。您可以继续阅读本文，了解如何使用该漏洞从锁定的系统中检索机密信息，甚至运行恶意代码。

微软本月修补的最关键的漏洞是Windows域名系统（DNS）DNSAPI中存在的远程代码执行漏洞（CVE-2018-8225）。dll，影响从7到10的所有Windows版本，以及Windows Server版本。

该漏洞存在于Windows解析DNS响应的方式中，可通过从攻击者控制的恶意DNS服务器向目标系统发送损坏的DNS响应来利用该漏洞。

成功利用此漏洞可使攻击者在本地系统帐户的上下文中运行任意代码。

另一个关键漏洞是Windows 10和Windows Server 2016的HTTP协议栈（HTTP.sys）中的远程代码执行漏洞（CVE-2018-8231），远程攻击者可利用该漏洞执行任意代码并控制受影响的系统。

此漏洞源于HTTP。sys不正确地处理内存中的对象，使攻击者能够向受影响的Windows系统发送精心编制的数据包，以触发任意代码执行。
影响Windows 10和Windows Server的下一个关键远程代码执行漏洞（CVE-2018-8213）存在于操作系统处理内存中对象的方式中。成功利用此漏洞可使攻击者控制受影响的Windows PC。

“要利用这些漏洞，攻击者必须首先登录到目标系统，然后运行精心编制的应用程序，”微软在其公告中解释道。

微软还解决了七个关键的内存损坏漏洞，一个在Chakra脚本引擎中，三个在Edge浏览器中，一个在ChakraCore脚本引擎中，一个在Windows Media Foundation中，所有这些都会导致远程代码执行。

Rest CVE列出的缺陷已在Windows、Microsoft Office、Internet Explorer、Microsoft Edge、ChakraCore中得到解决，此外，Adobe上周修补了Flash Player中的一个零日缺陷。

强烈建议用户尽快应用安全补丁，以防止黑客和网络犯罪分子控制他们的计算机。

要安装安全更新，只需进入设置，更新及安全和Windows Update，检查更新，或者手动安装更新。