Windows COM特权提升漏洞安全通告

发布时间 2018-11-21

漏洞编号和级别


CVE编号:CVE-2018-8550,危险级别:高危,CVSS分值:官方未评定


影响版本


Windows 7Windows Server 2012 R2Windows RT 8.1Windows Server 2008Windows Server 2019Windows Server 2012Windows 8.1Windows Server 2016Windows Server 2008 R2Windows 10Windows 10 Server


漏洞概述


Windows COM Aggregate Marshaler 中存在权限提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权运行任意代码。

若要利用此漏洞,攻击者可以运行经特殊设计并能够利用此漏洞的应用程序。此漏洞本身不允许运行任意代码。但是,此漏洞可能与一个或多个可在运行时利用提升特权的漏洞结合使用。


漏洞验证


POC/EXP

https://www.exploit-db.com/exploits/45893/



修复建议


MicroSoft官方已经发布更新补丁,请及时进行补丁更新。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8550


参考链接

https://bugs.chromium.org/p/project-zero/issues/detail?id=1644