CNNVD关于微软多个安全漏洞的通报(Windows Hyper-

<返回列表

近日,微软官方发布了多个安全漏洞的公告,包括Windows Hyper-V远程代码执行漏洞(CNNVD-201906-478、CVE-2019-0620)、Jet 数据库引擎远程代码执行漏洞(CNNVD-201906-413、CVE-2019-0904)、ActiveX Data Objects远程代码执行漏洞(CNNVD-201906-456、CVE-2019-0888)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,采取修补措施。

一、 漏洞介绍

? ? ? 本次漏洞公告涉及Microsoft Windows系统 、Jet 数据库、ActiveX Data Objects、Microsoft Word、Chakra 脚本引擎、Windows Hyper-V等Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,漏洞详情如下:

? ? ? 1、Windows Hyper-V远程代码执行漏洞(CNNVD-201906-478、CVE-2019-0620)(CNNVD-201906-443、CVE-2019-0709)(CNNVD-201906-447、CVE-2019-0722)

? ? ? 漏洞简介:当主机服务器上的 Windows Hyper-V 无法正确验证来宾系统上经身份验证的用户输入时,存在远程代码执行漏洞。攻击者可以在来宾操作系统上运行经特殊设计的恶意程序,最终在主机服务器系统上执行任意代码。

? ? ? 2、Jet 数据库引擎远程代码执行漏洞(CNNVD-201906-413、CVE-2019-0904)(CNNVD-201906-412、CVE-2019-0905)(CNNVD-201906-450、CVE-2019-0906)(CNNVD-201906-453、CVE-2019-0907)(CNNVD-201906-452、CVE-2019-0908)(CNNVD-201906-457、CVE-2019-0909)

? ? ? 漏洞简介:当 Windows Jet 数据库引擎不正确地处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在受害者系统上执行任意代码。

? ? ? 3、ActiveX Data Objects (ADO)远程代码执行漏洞(CNNVD-201906-456、CVE-2019-0888)

? ? ? 漏洞简介:ActiveX Data Objects (ADO)处理内存中对象的方式中存在一个远程代码执行漏洞。 攻击者可创建含有恶意代码的网站,并诱使用户进行访问,最终实现远程代码执行。

? ? ? 4、Microsoft Word 远程代码执行漏洞(CNNVD-201906-425、CVE-2019-1034)(CNNVD-201906-421、CVE-2019-1035)

? ? ? 漏洞简介:当 Microsoft Word无法正确处理内存中的对象时,会触发远程代码执行漏洞。攻击者可通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。成功利用漏洞的攻击者可在用户系统上执行任意代码。

? ? ? 5、Chakra 脚本引擎内存损坏漏洞(CNNVD-201906-472、CVE-2019-1002)(CNNVD-201906-516、CVE-2019-1003)(CNNVD-201906-475、CVE-2019-0989)(CNNVD-201906-477、CVE-2019-0991)(CNNVD-201906-476、CVE-2019-0992)(CNNVD-201906-473、CVE-2019-0993)

? ? ? 漏洞简介:Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象时可能触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员权限登录,攻击者便可以任意安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。

? ? ? 6、Microsoft Speech API 远程代码执行漏洞(CNNVD-201906-454、CVE-2019-0985)

? ? ? 漏洞简介:当Microsoft Speech API不正确地处理文本到语音(TTS)输入时,存在远程代码执行漏洞。 该漏洞可能以一种使攻击者能够在当前用户的上下文中执行任意代码的方式来破坏内存。

? ? ? 7、Microsoft Windows安全特征绕过漏洞(CNNVD-201906-431、CVE-2019-1019)

? ? ? 漏洞简介:Windows中Netlogon消息能够获取会话密钥并对消息进行签名,该消息存在一个安全特征绕过漏洞。为了利用此漏洞,攻击者可以发送精心设计的身份验证请求。成功利用此漏洞的攻击者可以使用原始用户权限访问另一台计算机。

二、修复建议

? ? ? 目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,采取修补措施。微软官方链接地址如下:

序号

漏洞名称

官方链接

1

Windows Hyper-V远程代码执行漏洞(CNNVD-201906-478、CVE-2019-0620)(CNNVD-201906-443、CVE-2019-0709)(CNNVD-201906-447、CVE-2019-0722)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0620

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0709

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0722

2

Jet 数据库引擎远程代码执行漏洞(CNNVD-201906-413、CVE-2019-0904)(CNNVD-201906-412、CVE-2019-0905)(CNNVD-201906-450、CVE-2019-0906)(CNNVD-201906-453、CVE-2019-0907)(CNNVD-201906-452、CVE-2019-0908)(CNNVD-201906-457、CVE-2019-0909)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0904

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0905

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0906

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0907

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0908

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0909

3

ActiveX Data Objects (ADO)远程代码执行漏洞(CNNVD-201906-456、CVE-2019-0888)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0888

4

Microsoft Word 远程代码执行漏洞(CNNVD-201906-425、CVE-2019-1034)(CNNVD-201906-421、CVE-2019-1035)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1034

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1035

5

Chakra 脚本引擎内存损坏漏洞(CNNVD-201906-472、CVE-2019-1002)(CNNVD-201906-516、CVE-2019-1003)(CNNVD-201906-475、CVE-2019-0989)(CNNVD-201906-477、CVE-2019-0991)(CNNVD-201906-476、CVE-2019-0992)(CNNVD-201906-473、CVE-2019-0993)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1002

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1003

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0989

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0991

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0992

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0993

6

Microsoft Speech API 远程代码执行漏洞(CNNVD-201906-454、CVE-2019-0985)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0985

7

Microsoft Windows安全特征绕过漏洞(CNNVD-201906-431、CVE-2019-1019)

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1019

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案镇江免备案江苏免备案辽宁免备案vps山东联通免备案
分享新闻到:

更多帮助

告别繁琐备案!2026年最新免备案国内云主机推荐

新闻中心 2026-04-01
曾几何时,搭建网站成为不少企业和个人迈向数字化的重要一步,但许多人也为繁杂的备案流程而头疼。每一次新平台上线,都可能要花去大量时间和精力在手续上,等待审批的日子···
查看全文

2026年云国内免备案服务器优选推荐轻松开启极速建站体验

新闻中心 2026-04-01
迈入2026年,网站建设的门槛变得越来越低,而需求也日益多样化。许多人都希望能够快速搭建属于自己的平台,无论是个人博客还是企业展示站,速度和安全性都成为了首要考···
查看全文

国内服务器网站真的可以免备案吗?最新政策详解与风险分析

新闻中心 2026-03-31
提到国内服务器网站,很多人会想到“备案”这件事。对于不少准备创业或打算搭建个人站点的朋友来说,备案似乎成为了一道不可逾越的门槛。于是,有些人常常在网络上看到一些···
查看全文
返回更多帮助