微软发布了一个关键的“可工作缺陷”和78个其他问题的补丁

微软已经进行了软件更新，以解决其Windows操作系统和其他产品中总共79个CVE列出的漏洞，其中包括一个关键的可攻击漏洞，该漏洞可以在不需要用户交互的情况下将恶意软件从一台计算机传播到另一台计算机。

在79个漏洞中，有18个问题被评为关键问题，其余问题的严重性很重要。这家科技巨头本月解决的两个漏洞被列为已知漏洞，其中一个在发布时被列为主动攻击。

2019年5月安全更新解决了Windows操作系统、Internet Explorer、Edge、Microsoft Office以及Microsoft Office服务和Web应用程序中的漏洞，ChakraCore。NET框架和ASP。NET、Skype for Android、Azure DevOps服务器和NuGet软件包管理器。

严重的可工作RDP漏洞

可工作漏洞（CVE-2019-0708）存在于远程桌面服务中，以前称为终端服务，通过通过RDP协议向目标系统发送精心编制的请求，可以远程利用该漏洞。

该漏洞可能被利用，以类似于2017年WannaCry恶意软件在全球传播的方式传播可工作的恶意软件。

“该漏洞是预验证漏洞，不需要用户交互。成功利用该漏洞的攻击者可以在目标系统上执行任意代码，”微软在一份详细说明该漏洞的建议中说。

“虽然我们没有发现有人利用此漏洞进行攻击，但恶意参与者很可能会为此漏洞编写攻击，并将其纳入恶意软件”。

令人惊讶的是，除了为Windows 7、Windows Server 2008 R2和Windows Server 2008等受支持系统发布修补程序外，微软还分别为Windows 2003和Windows XP等不受支持的Windows版本发布了修补程序，以解决这一关键问题。

作为一种解决方法，Microsoft建议Windows Server用户阻止TCP端口3389并启用网络级身份验证，以防止任何未经身份验证的攻击者利用此可攻击的漏洞。

其他关键和重要的漏洞

另一个严重缺陷是Windows中的一个重要权限提升漏洞（CVE-2019-0863），该漏洞存在于Windows错误报告（WER）处理文件的方式中。该漏洞已被列为众所周知的漏洞，并已在针对特定目标的有限攻击中被积极利用。

成功利用该漏洞可使低权限远程攻击者以管理员权限在内核模式下运行任意代码，最终允许他们安装程序、查看、更改或删除数据，或以管理员权限创建新帐户。

另一个公开披露的漏洞影响了Skype for Android应用程序。该漏洞（CVE-2019-0932）允许攻击者在不知情的情况下监听Skype用户的对话。

要成功利用此漏洞，攻击者只需在安装了Skype for Android并与蓝牙设备配对的情况下拨打Android手机。

本月列出的所有关键漏洞主要影响不同版本的Windows 10操作系统和服务器版本，主要存在于Chakra脚本引擎中，有些还存在于Windows图形设备界面（GDI）、Internet Explorer、Edge、Word、远程桌面服务和Windows DHCP服务器中。

许多重要的分级漏洞也会导致远程代码执行攻击，而其他漏洞则允许权限提升、信息泄露、安全绕过、欺骗篡改和拒绝服务攻击。

强烈建议用户和系统管理员尽快应用最新的安全补丁，以防止网络犯罪分子和黑客控制他们的计算机。

要安装最新的安全更新，您可以进入设置，更新及安全和Windows Update，检查计算机上的更新，或者手动安装更新。

Adobe今天还发布了安全更新，修复了其多个产品中的87个安全漏洞。建议受影响的Adobe Windows、macOS、Linux和Chrome操作系统软件的用户将其软件包更新至最新版本。