雷鋒網(wǎng)3月14日消息，微軟在周二更新了軟件，解決了Windows 操作系統(tǒng)和其它產(chǎn)品中的64個(gè)漏洞，它們分別存在于Windows、IE、Edge、MS Office 和 MS Office SharePoint、ChakraCore、企業(yè)版 Skype以及 Visual Studio NuGet 中。

值得一提的是，在被修復(fù)的漏洞中有兩個(gè)是0day漏洞。他們分別是CVE-2019-5786和CVE-2019-0808，均存在于 Win32k 組件中。其作用是可以幫助攻擊者遠(yuǎn)程在運(yùn)行Windows 7 或Server 2018 的目標(biāo)計(jì)算機(jī)上執(zhí)行任意代碼并獲取完全控制權(quán)限。

今日，研究人員進(jìn)一步發(fā)現(xiàn) CVE-2019-0797 已遭多個(gè)威脅者利用，包括但不僅限于 FruityArmor 和 SandCat。FruityArmor 此前使用過 0day，而 SandCat 是最近檢測到的一個(gè)新興 APT 組織。除了利用 CVE-2019-0797 和 CHAINSHOT 外，SandCat 還使用了 FinFisher/FinSpy 框架。

在CVE-2019-0797中有易受攻擊代碼獲得了和 DirectComposition::CConnection 結(jié)構(gòu)中幀操作相關(guān)的一個(gè)鎖，而且試圖找到和既定 id 相對應(yīng)的幀并最終調(diào)用釋放 (free) 。這種操作存在的問題可見如下圖：

研究人員稱：“已遭在野利用的漏洞針對的是 Windows 8 到 Windows 10 build 15063 版本的64位操作系統(tǒng)。這些操作系統(tǒng)上的利用進(jìn)程區(qū)別不大，更多是通過噴射調(diào)色板和加速器表使用 GdiSharedHandleTable 和 gSharedInfo執(zhí)行的以泄漏其內(nèi)核地址?！?/p>

參考來源：代碼衛(wèi)士

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。