.NET Framework 特权提升漏洞

CVE-2018-8202
安全漏洞

发行版: 2018年7月10日

最后更新:2018年8月15日

Assigning CNA
Microsoft
CVE.org link
MitreCVE-2018-8202

执行摘要

.NET Framework 中存在特权提升漏洞,这可能允许攻击者提升其特权等级。

若要利用此漏洞,攻击者首先必须访问本地计算机,然后运行恶意程序。

此更新通过更正 .NET Framework 激活 COM 对象的方式来修复此漏洞。

利用

下表为此漏洞提供初始发布时的可利用性评估

Publicly disclosed
Exploited
Exploitability assessment
不太可能利用

常见问题

我安装了 .NET Framework 的 2018 年 7 月更新后,应用程序无法启动或无法正常运行。我需要做什么来解决这种情况?

Microsoft 发现多个客户报告应用程序无法启动或无法正常运行。请参阅以下建议的操作。

建议的操作

尚未安装 7 月 10 日发布的 .NET 安全更新的客户:测试 7 月 10 日发布的更新,如果未发现任何应用程序错误,请将更新应用于生产。

已成功安装 7 月 10 日发布的 .NET 安全更新且未遇到任何问题的客户:不需要执行任何进一步操作。

已安装 7 月 10 日发布的 .NET 安全更新且遇到应用程序错误的客户:

  1. 注册安全通知邮件程序以获得本通报的任何内容更改通知和新更新的通知。请参阅 Microsoft 技术安全通知
  2. 与漏洞披露风险相比,评估由更新所导致的应用程序错误的风险:

风险指导

工作站和终端服务器是主要目标系统,攻击者可以在其中通过用户级别访问来利用此漏洞。在 Web 应用程序服务器方案中,非特权用户通常不具有系统登录访问权限。因此,攻击面得以减少。

  • 如果应用程序错误的风险可以接受,则:
  1. 将 7 月 10 日发布的 .NET 安全更新应用于工作站和非 Web 应用程序服务器。
  2. 准备应用即将推出的累积更新,其中不再包含 KB4345913 中所述的应用程序错误。当这些更新可用时,客户将通过对此 CVE 的更新收到通知。
  • 如果应用程序错误的风险不可以接受,则:
  1. 将 7 月 10 日发布的 .NET 安全更新从显示应用程序错误的系统中删除。
  2. 当在接下来几天内提供有限分发更新时,你将通过对此 CVE 的更新收到通知。将其应用于受影响的 Web 应用程序服务器。

鸣谢

  • Lasse Trolle Borup of Langkjaer Cyber Defence
Microsoft 认可在安全社区中通过协调漏洞披露渠道帮助我们保护客户的人们所做出的努力。有关更多信息,请参阅鸣谢

安全更新程序

若要确定软件的支持生命周期,请参阅 Microsoft 支持生命周期

发布日期 Descending
All results loaded
已加载所有 71 行

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。由于有些州不允许免除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订

您对 MSRC 安全更新指南的满意度如何?