微软修复了 IE 和 Exchange 的 0day 漏洞

最新推荐文章于 2024-12-25 14:59:14 发布
最新推荐文章于 2024-12-25 14:59:14 发布
阅读量147 收藏
点赞数
微软发布了例行安全更新,修复了正在被利用的IE0day漏洞和一个已公布概念验证代码的Exchange Server漏洞。IE漏洞允许攻击者测试用户PC上的文件存储情况,而Exchange Server漏洞则可能让攻击者获得服务器管理权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

开发四年只会写业务代码,分布式高并发都不会还做程序员?  hot3.png

微软12号发布的例行安全更新修复了正在被利用的一个 IE 0day 漏洞和一个漏洞利用概念验证代码已公布的 Exchange Server 漏洞。

对于 IE 漏洞,微软称攻击者首先需要引诱用户访问一个恶意网站,该漏洞允许攻击者测试 PC 磁盘上是否储存一个或更多文件。该漏洞是 Google Project Zero 安全团队成员发现的,编号 CVE-2019-0676,影响 IE v 10 和 11,正被活跃利用。

Exchange Server 漏洞编号 CVE-2019-0686,允许攻击者利用普通权限的账号获取服务器的管理权限。微软称它没观察到该漏洞正被利用。

官方发布日记,这次更新中微软修补了70多个漏洞,其中20个被评为严重漏洞。易受攻击的产品包括了 IE,Edge,Windows,Office,.NET Framework,Exchange Server 和 Visual Studio等。

2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
08-21 4815
2023年国家护网目前收集到的0day1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
Microsoft Exchange 高危漏洞合集
02-06 1065
Microsoft Exchange任意用户伪造漏洞(CVE-2018-8581) 参考链接:https://blog.51cto.com/13741006/2347487?from=timeline CVE-2019-1040 Exchange服务远程代码执行漏洞复现(CVE-2020-0688) 参考文章:http://www.fr1sh.com/?post=24 Microsoft...
微软Exchange Server 0Day漏洞,尽快修复
u012288737的博客
10-01 2064
微软Exchange Server 0Day漏洞 2022 年 9 月 30 日更新:Microsoft 正在调查两个报告的影响 Microsoft Exchange Server 2013、Exchange Server 2016 Exchange Server 2019 的零日漏洞。第一个漏洞被识别为CVE-2022-41040,是一个服务器端请求伪造 (SSRF) 漏洞,另一个是标识为CVE-2022-41082,当攻击者可以访问 PowerShell 时允许远程代码执行 (RCE)。
Exchange高危0day漏洞 -- 直接拿下你的域控服务器 -- 立即行动!CVE-2021-26855
DynamicsAgg的博客
03-03 5054
漏洞介绍: 微软在今天2020-03-02 发布了紧急的0day漏洞更新, 有以下几个漏洞:CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065 CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and ...
微软证实称两个Exchange 0day 正遭在野利用
smellycat000的专栏
10-08 278
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软公开表示,正在调查影响Exchange Server 2013、20162019的两个0day遭在野利用事件。微软指出,“第一个漏洞是CVE-2022-41040,它是一个服务器端请求伪造漏洞。第二个漏洞CVE-2022-41082可导致攻击者在访问PowerShell的情况下实现远程代码执行后果。”微软还证实称,虽然已发现这些0day遭“...
Microsoft Exchange 内网地址泄露漏洞复现与缓解方案
Vitaminapple的博客
04-23 903
漏洞是在确实host头访问的情况下可泄露Exchange的内网IP地址,直接危害不大,但有需要解决这个问题的可以参考下。
[漏洞复现]CVE-2021-26855 漏洞复现Exchange邮箱详细安装过程
网络安全知识分享
03-27 8378
CVE-2021-26855 漏洞复现Exchange邮箱详细安装过程 一、介绍 Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。 影响
微软Exchange多个高危漏洞通告 .pdf
09-05
微软Exchange多个高危漏洞详解】 微软Exchange是企业广泛使用的邮件服务器系统,它为企业提供了高效、安全的电子邮件通信。然而,2021年3月3日,360CERT发布了关于微软Exchange存在多个高危漏洞的风险通告。这些...
漏洞复现-Exchange系列
aming小老弟
02-20 779
Exchage就是我们常说的邮箱服务器。Exchange是由微软推出的用于企业环境中部署的邮件服务器。微软对外发布的第一个Exchange版本是Exchange 4.0,最开始Exchange使用X.400目录服务,随后转向使用微软的活动目录,最开始的时候微软还提供了Microsoft Exchange Client,即Exchange邮件客户端,随后被Outlook取代。
【已复现】Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告
smellycat000的专栏
12-26 2441
奇安信CERT致力于第一时间为企业级用户提供安全风险通告有效解决方案。安全通告Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发功能外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选OWA(基于Web的电子邮件存取)。近日,奇安信CERT监测到CrowdStrike发布针对Microsoft Exchange...
Exchange漏洞
Fiverya的博客
02-07 3369
Exchange漏洞
Exchange反序列化漏洞复现(CVE-2020-0688)
whojoe的博客
06-26 2967
Exchange反序列化漏洞复现(CVE-2020-0688)环境搭建 环境搭建 win2008r2 Exchange2013 下载地址https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=57826
(环境搭建+复现)CVE-2021-26855 2021年3月 Exchange Server RCE 复现
daxi0ng的博客
03-16 8065
0x00 简介 Exchange Server是微软公司的是一套电子邮件服务组件,是个消息与协作系统,主要提供包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议工作流等协作应用。 0x01 漏洞概述 CVE-2021-26855 该漏洞Exchange中的服务端请求伪造漏洞(SSRF),利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证,远程未授权的攻击者可以利用该漏洞以进行内网探测,并可以用于窃取用户邮箱的全部内容。 危害:该漏洞是Exch
Exchange Server反序列化漏洞复现(CVE-2020-0688)
谢公子的博客
07-10 2740
漏洞描述: 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKeydecryptionKey的值都是相同的,攻击者可以利用静态秘钥对服务器发起攻击,在服务器中以SYSTEM权限远程执行代码。 漏洞影响版本: Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 Microsoft Exchange Serve
ZDI称微软 Exchange 出现4个新0day,可导致RCE数据被盗
smellycat000的专栏
11-06 213
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软 Exchange 中存在4个0day漏洞,可被攻击者远程利用执行任意代码或在受影响设备上泄露敏感信息。这些0day 漏洞是由趋势科技的ZDI 团队披露的,后者在2023年9月7日8日告知微软。尽管微软确认了这些漏洞,但其开发工程师认为严重程度不足以得到立即修复,因此推迟修复动作。ZDI 不认同该看法,并决定通过自身的追踪ID编号来发布这些...
Exchange ProxyLogon 攻击链利用详解
最新发布
渗透之路,攻防之间皆学问
12-25 418
CVE-2021-26855 与 CVE-2021-27065 是微软在2021年3月2日发布的高危漏洞公告。这套组合拳被称为ProxyLogon,可直接获取目标邮件服务器主机权限。
Microsoft Exchange Server中的四个零日漏洞已被链接使用在野袭击
爱国小白帽
03-04 2941
CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065:被在野利用的Microsoft Exchange Server中的四个零日漏洞。 背景 美国时间3月2日,Microsoft发布了专门的安全公告,以解决Microsoft Exchange Server中四个在野外被利用的零日漏洞。 在一篇博客文章中,Microsoft将对这些缺陷的利用归因于一个名为HAFNIUM的国家背景资助的黑客组织。微软博客称,该组织历来以美国机构为目标,其中包
Exchange服务器端请求伪造(SSRF)漏洞CVE-2021-26855
qq_42660246的博客
04-26 6652
Exchange服务器端请求伪造(SSRF)漏洞CVE-2021-26855 1.漏洞描述 Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证
Microsoft Exchange 远程代码执行漏洞复现(CVE-2020-17144)
m0_48520508的博客
12-29 2174
0x00简介 Microsoft Exchange Server 2010可让IT专业人士感到更加可靠、灵活,使用户体验更加的良好,并且可以增强对业务通信的保护。 灵活可靠:Exchange Server 2010可让您根据自己公司的独特需求灵活地进行部署,并通过一种简化方式帮助您的用户不间断地使用电子邮件。 从任意位置访问:使用 Exchange Server 2010,您的用户可以从几乎所有平台、Web浏览器或设备安全自如地使用其所有通信工具(电子邮件、语音邮件、即时消息,等等),从而完成更多工作。
Microsoft Exchange服务器0天漏洞紧急修补指南
### Exchange服务器0day漏洞概述 2021年3月2日,微软公司发布了一项重要安全通告,揭露了Microsoft Exchange Server产品系列中存在多个本地零时差漏洞,这些漏洞被一个名为HAFNIUM的国家/地区附属组织利用。涉及的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值