首页 > 安全钻研 > 安全传递 > 安全公告

Windows COM特权提升缝隙安全公告

颁布功夫 2018-11-21

缝隙编号和级别

CVE编号：CVE-2018-8550，，，，，，，，危险级别：高危，，，，，，，，CVSS分值：官方未评定

影响版本

Windows 7，，，，，，，，Windows Server 2012 R2，，，，，，，，Windows RT 8.1，，，，，，，，Windows Server 2008，，，，，，，，Windows Server 2019，，，，，，，，Windows Server 2012，，，，，，，，Windows 8.1，，，，，，，，Windows Server 2016，，，，，，，，Windows Server 2008 R2，，，，，，，，Windows 10，，，，，，，，Windows 10 Server

缝隙概述

Windows COM Aggregate Marshaler 中存在权限提升缝隙。。。。。。。。成功利用此缝隙的攻击者能够使用提升的特权运行肆意代码。。。。。。。。

若要利用此缝隙，，，，，，，，攻击者能够运行经特殊设计并可能利用此缝隙的利用法式。。。。。。。。此缝隙自身不允许运行肆意代码。。。。。。。。但是，，，，，，，，此缝隙可能与一个或多个可在运行时利用提升特权的缝隙结合使用。。。。。。。。

缝隙验证

POC/EXP：

https://www.exploit-db.com/exploits/45893/

8827太阳集团(Macau)股份有限公司-Official website

建复建议

微软官方已经颁布更新补�。。。。。。。。�，，，，，，，请实时进行补丁更新。。。。。。。。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8550

参考链接

https://bugs.chromium.org/p/project-zero/issues/detail?id=1644

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

软件升级

投资者关系

安全钻研