Windows COM特权提升漏洞安全通告
发布时间 2018-11-21漏洞编号和级别
CVE编号:CVE-2018-8550,危险级别:高危,CVSS分值:官方未评定
影响版本
Windows 7,Windows Server 2012 R2,Windows RT 8.1,Windows Server 2008,Windows Server 2019,Windows Server 2012,Windows 8.1,Windows Server 2016,Windows Server 2008 R2,Windows 10,Windows 10 Server
漏洞概述
Windows COM Aggregate Marshaler 中存在权限提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权运行任意代码。
若要利用此漏洞,攻击者可以运行经特殊设计并能够利用此漏洞的应用程序。此漏洞本身不允许运行任意代码。但是,此漏洞可能与一个或多个可在运行时利用提升特权的漏洞结合使用。
漏洞验证
POC/EXP:
https://www.exploit-db.com/exploits/45893/
修复建议
微软官方已经发布更新补丁,请及时进行补丁更新。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8550
参考链接
https://bugs.chromium.org/p/project-zero/issues/detail?id=1644
京公网安备11010802024551号