微軟Patch Tuesday列出36個安全漏洞

微軟在本月的Patch Tuesday列出了36個安全漏洞，其中有7個被列為重大（Critical）漏洞，還有一個是已經被開採的權限擴張漏洞CVE-2019-1458。

此次微軟修補的漏洞中，有7個位於Visual Studio，並有5個屬於重大漏洞，涵蓋CVE-2019-1350、CVE-2019-1349、CVE-2019-1387、CVE-2019-1354及CVE-2019-1352，它們都能造成遠端程式攻擊。

另外2個重大漏洞則分別是位於繪圖元件的CVE-2019-1468，以及位於Windows Hyper-V的CVE-2019-1471。

CVE-2019-1471也是個遠端程式執行漏洞，當主機（Host）伺服器無法妥善驗證虛擬（Guest）作業系統上通過身分認證的使用者的輸入時，就會觸發該漏洞，將允許駭客於虛擬系統上執行特製程式，以進一步於主機系統上執行任意程式。

至於CVE-2019-1468則會在Windows字型資料庫不當處理特定嵌入字型時被觸發，將允許駭客掌控系統。可能的攻擊場景包括建立一個專門開採該漏洞的網站並誘導使用者造訪，或是分享一個開啟該漏洞的文件。

雖然微軟本月列出了36個安全漏洞，但實際修補的只有35個，因為當中的CVE-2019-1489存在於已經終止支援的Windows XP SP3，它藏匿在Remote Desktop Protocol（RDP）中，是個資訊揭露漏洞，駭客只要自遠端執行一個特製程式就能開採它。

微軟只是揭露CVE-2019-1489，但並未修補它，僅建議該版本的用戶儘快升級到還在支援期限中的Windows平台。