【漏洞情报】微软2018年12月补丁情报

【漏洞详情】

微软已发布2018年12月安全补丁，修复了39个从简单的欺骗攻击到远程执行代码的安全问题，产品涉及.NET Framework、Adobe Flash Player、Internet Explorer、Microsoft Dynamics、Microsoft Office、Windows Kernel等，修复的漏洞CVE编号列表如下，请用户根据自身业务情况安排补丁升级：

序号	产品	CVE编号	CVE标题
1	.NET Framework	CVE-2018-8517	.NET Framework Denial Of Service Vulnerability
2	.NET Framework	CVE-2018-8540	.NET Framework Remote Code Injection Vulnerability
3	Adobe Flash Player	ADV180031	December 2018 Adobe Flash 安全更新
4	Internet Explorer	CVE-2018-8619	Internet Explorer 远程代码执行漏洞
5	Internet Explorer	CVE-2018-8631	Internet Explorer 内存破坏漏洞
6	Microsoft Dynamics	CVE-2018-8651	Microsoft Dynamics NAV Cross Site Scripting Vulnerability
7	Microsoft Exchange Server	CVE-2018-8604	Microsoft Exchange Server Tampering Vulnerability
8	Microsoft Graphics Component	CVE-2018-8595	Windows GDI 信息泄露漏洞
9	Microsoft Graphics Component	CVE-2018-8596	Windows GDI 信息泄露漏洞
10	Microsoft Graphics Component	CVE-2018-8638	DirectX 信息泄露漏洞
11	Microsoft Graphics Component	CVE-2018-8639	Win32k 特权提升漏洞
12	Microsoft Office	CVE-2018-8587	Microsoft Outlook 远程代码执行漏洞
13	Microsoft Office	CVE-2018-8597	Microsoft Excel 远程代码执行漏洞
14	Microsoft Office	CVE-2018-8598	Microsoft Excel 信息泄露漏洞
15	Microsoft Office	CVE-2018-8627	Microsoft Excel 信息泄露漏洞
16	Microsoft Office	CVE-2018-8628	Microsoft PowerPoint 远程代码执行漏洞
17	Microsoft Office	CVE-2018-8636	Microsoft Excel 远程代码执行漏洞
18	Microsoft Office SharePoint	CVE-2018-8580	Microsoft SharePoint 信息泄露漏洞
19	Microsoft Office SharePoint	CVE-2018-8635	Microsoft SharePoint Server 特权提升漏洞
20	Microsoft Scripting Engine	CVE-2018-8583	Chakra Scripting Engine 内存破坏漏洞
21	Microsoft Scripting Engine	CVE-2018-8617	Chakra Scripting Engine 内存破坏漏洞
22	Microsoft Scripting Engine	CVE-2018-8618	Chakra Scripting Engine 内存破坏漏洞
23	Microsoft Scripting Engine	CVE-2018-8624	Chakra Scripting Engine 内存破坏漏洞
24	Microsoft Scripting Engine	CVE-2018-8625	Windows VBScript Engine 远程代码执行漏洞
25	Microsoft Scripting Engine	CVE-2018-8629	Chakra Scripting Engine 内存破坏漏洞
26	Microsoft Scripting Engine	CVE-2018-8643	Scripting Engine 内存破坏漏洞
27	Microsoft Windows	CVE-2018-8649	Windows 拒绝服务漏洞
28	Microsoft Windows DNS	CVE-2018-8514	Remote Procedure Call runtime 信息泄露漏洞
29	Microsoft Windows DNS	CVE-2018-8626	Windows DNS Server Heap Overflow Vulnerability
30	Visual Studio	CVE-2018-8599	Diagnostics Hub Standard Collector Service 特权提升漏洞
31	Windows Authentication Methods	CVE-2018-8634	Microsoft Text-To-Speech 远程代码执行漏洞
32	Windows Azure Pack	CVE-2018-8652	Windows Azure Pack Cross Site Scripting Vulnerability
33	Windows Kernel	CVE-2018-8477	Windows Kernel 信息泄露漏洞
34	Windows Kernel	CVE-2018-8611	Windows Kernel 特权提升漏洞
35	Windows Kernel	CVE-2018-8612	Connected User Experiences and Telemetry Service 拒绝服务漏洞
36	Windows Kernel	CVE-2018-8621	Windows Kernel 信息泄露漏洞
37	Windows Kernel	CVE-2018-8622	Windows Kernel 信息泄露漏洞
38	Windows Kernel	CVE-2018-8637	Win32k 信息泄露漏洞
39	Windows Kernel-Mode Drivers	CVE-2018-8641	Win32k 特权提升漏洞

【风险评级】

高危

【影响范围】

12 月安全发布的漏洞及补丁涉及如下产品：

l .NET Framework

l Adobe Flash Player

l Internet Explorer

l Microsoft Dynamics

l Microsoft Exchange Server

l Microsoft Graphics Component

l Microsoft Office

l Microsoft Office SharePoint

l Microsoft Scripting Engine

l Microsoft Windows

l Microsoft Windows DNS

l Visual Studio

l Windows Authentication Methods

l Windows Azure Pack

l Windows Kernel

l Windows Kernel-Mode Drivers

【修复建议】

1、建议用户关注并依据业务需求场景评估实际漏洞风险，选择更新最新补丁，以提高系统安全性；

2、修复方法：Windows Update功能，点击“检查更新”按钮，依据业务情况下载安装相关安全补丁，安装完毕后重启服务器，并检查系统运行情况。

【参考链接】

https://support.microsoft.com/en-us/help/20181211/security-update-deployment-information-December-11-2018

注意：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2018-12-13

平安云公告

【漏洞情报】微软2018年12月补丁情报