一、概要

微軟近日發(fā)布了6月安全補(bǔ)丁更新，共披露了 50個(gè)安全漏洞，其中11個(gè)評(píng)級(jí)為嚴(yán)重。攻擊者可利用漏洞實(shí)施權(quán)限提升、遠(yuǎn)程代碼執(zhí)行等攻擊。受影響的應(yīng)用包括：Microsoft Edge，Internet Explorer，Chakra Scripting Engine，Windows DNSAPI，Microsoft Office，Windows Kernel 等多個(gè)組件安全漏洞。

微軟官方說(shuō)明：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/7d4489d6-573f-e811-a96f-000d3a33c573

二、重要安全漏洞說(shuō)明

CVE-2018-8229  -  Chakra 腳本引擎內(nèi)存破壞漏洞

此漏洞由于 Chakra 引擎沒(méi)有正確地處理內(nèi)存中的對(duì)象導(dǎo)致，攻擊者可以利用此漏洞在受影響系統(tǒng)上執(zhí)行任意代碼。如果用戶(hù)訪問(wèn)攻擊者惡意構(gòu)造的網(wǎng)頁(yè)，也會(huì)被攻擊者攻擊。

CVE-2018-8267  -  腳本引擎內(nèi)存破壞漏洞

此漏洞由于腳本引擎沒(méi)有正確處理 Internet Explorer 中的對(duì)象而導(dǎo)致，攻擊者可以利用此漏洞在受影響的系統(tǒng)上執(zhí)行任意代碼。

CVE-2018-8225 - Windows DNSAPI 遠(yuǎn)程代碼執(zhí)行漏洞

Windows DNS 的 DNSAPI.dll 中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，成功利用該漏洞的攻擊者可以本地系統(tǒng)帳戶(hù)權(quán)限運(yùn)行任意代碼。利用該漏洞需要攻擊者利用惡意DNS服務(wù)器向目標(biāo)機(jī)器發(fā)送惡意的DNS響應(yīng)。

三、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說(shuō)明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

四、影響范圍

Windows Server 2008/ Windows Server 2008 R2/Windows Server 2012/ Windows Server 2012 R2/ Windows Server 2016等

五、排查方法

檢查windows系統(tǒng)版本，如果版本在受影響的產(chǎn)品清單中，則受該漏洞影響。

六、安全建議

1、可通過(guò)Windows Update自動(dòng)更新微軟補(bǔ)丁修復(fù)漏洞，也可以手動(dòng)下載補(bǔ)丁，補(bǔ)丁下載地址：

https://portal.msrc.microsoft.com/en-us/security-guidance

2、為確保數(shù)據(jù)安全，建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。