微软于2019年6月发布安全更新，修补88个漏洞

继今天的科技巨头微软公司Adobe之后，2019年6月2日，还发布了每月一批针对各种受支持版本的Windows操作系统和其他Microsoft产品的软件安全更新。

2019年6月的更新包括Windows OS、Internet Explorer、Microsoft Edge browser、Microsoft Office and Services、ChakraCore、Skype for Business、Microsoft Lync、Microsoft Exchange Server和Azure补丁。

这家科技巨头本月修补的四个安全漏洞均被公开披露，这些漏洞都被评为重要漏洞，可能会让攻击者升级权限，其中没有一个被发现在野外被利用。

谷歌研究人员报告的未修补问题

然而，微软未能修补SymCrypt中的一个小缺陷。SymCrypt是Windows当前使用的一个核心加密函数库，一旦成功利用该漏洞，恶意程序可能会中断（拒绝服务）其他程序的加密服务。

几乎90天前，谷歌项目零安全研究员塔维斯·奥曼迪（Tavis Ormandy）向微软报告了该漏洞。在发现微软没有任何计划用本月的更新来修补这个问题后，奥曼迪今天公开了该漏洞的细节和概念证明。

奥曼迪说：“我已经能够构造一个触发该漏洞的X.509证书。我发现，将该证书嵌入S/MIME消息、authenticode签名、schannel连接等将有效地拒绝任何windows服务器（如ipsec、iis、exchange等），并且（取决于上下文）可能需要重新启动机器。”显然，许多处理不受信任内容的软件（如防病毒软件）会对不受信任的数据调用这些例程，这将导致它们死锁”。

RCE到NTLM漏洞（所有受影响的Windows版本）

Preempt的研究人员发现，两个重要的严重漏洞（CVE-2019-1040和CVE-2019-1019）影响了微软的NTLM认证协议，远程攻击者可以绕过NTLM保护机制，重新启用NTLM中继攻击。

这些缺陷源于三个逻辑缺陷，攻击者可以绕过各种缓解措施，包括消息完整性代码（MIC）、SMB会话签名和增强的身份验证保护（EPA）和#8212，微软增加了防止NTLM中继攻击的功能。

成功利用该漏洞后，中间人攻击者可以“在任何Windows计算机上执行恶意代码，或向支持Windows集成身份验证（WIA）的任何web服务器（如Exchange或ADFS）进行身份验证”。

最新的Microsoft Windows更新通过加强服务器端的NTLM MIC保护来解决该漏洞。

其他重要的微软漏洞

下面我们列出了您应该注意的其他关键和重要的Microsoft漏洞：

 Windows Hyper-V RCE和DoS漏洞（CVE-2019-0620、CVE-2019-0709、CVE-2019-0722）和#8212，Microsoft修补了Windows Hyper-V中的三个关键远程代码执行漏洞。Windows Hyper-V是本机虚拟化软件，管理员可以在Windows上以虚拟机的形式运行多个操作系统。

根据建议，这些缺陷源于主机未能正确验证来宾操作系统上经过身份验证的用户的输入。

因此，Hyper-V RCE漏洞允许攻击者只需在来宾操作系统上执行精心编制的应用程序，即可在主机操作系统上执行任意恶意代码。

除了Hyper-V中的RCE漏洞外，微软还发布了针对Hyper-V软件中三个拒绝服务（DoS）漏洞的修补程序，这些漏洞可能会让在来宾操作系统上拥有特权帐户的攻击者使主机操作系统崩溃。

强烈建议用户和系统管理员尽快应用最新的安全补丁，以防止网络犯罪分子和黑客控制他们的计算机。

要安装最新的安全更新，您可以进入设置，更新及，安全和#8594，Windows Update，检查计算机上的更新，或者手动安装更新。