阿里云漏洞库

漏洞描述

Chakra脚本引擎处理Microsoft Edge内存中对象的方式中存在一个远程执行代码漏洞，即“Chakra脚本引擎内存损坏漏洞”。该CVE ID独特于CVE-2019-1062，CVE-2019-1092，CVE-2019-1106，CVE-2019-1107。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1103

参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-1103
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1103

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	chakracore	*		Up to (excluding) 1.11.11
	运行在以下环境
	应用	microsoft	edge	-	-
	运行在以下环境
	系统	alpine_3.10	gd	*		Up to (excluding) 2.2.5-r3
	运行在以下环境
	系统	alpine_3.11	gd	*		Up to (excluding) 2.2.5-r3
	运行在以下环境
	系统	alpine_3.12	gd	*		Up to (excluding) 2.3.0-r0
	运行在以下环境
	系统	alpine_3.13	gd	*		Up to (excluding) 2.3.0-r0
	运行在以下环境
	系统	alpine_3.7	gd	*		Up to (excluding) 7.1.30-r0
	运行在以下环境
	系统	alpine_3.8	gd	*		Up to (excluding) 2.2.5-r3
	运行在以下环境
	系统	alpine_3.9	gd	*		Up to (excluding) 2.2.5-r3
	运行在以下环境
	系统	alpine_edge	gd	*		Up to (excluding) 2.3.0-r0
	运行在以下环境
	系统	amazon_AMI	gd	*		Up to (excluding) 7.1.29-1.39.amzn1
	运行在以下环境
	系统	centos_8	gd	*		Up to (excluding) 5.1.12-2.module+el8.1.0+3202+af5476b9
	运行在以下环境
	系统	debian_10	gd	*		Up to (excluding) 7.3.9-1~deb10u1
	运行在以下环境
	系统	debian_8	gd	*		Up to (excluding) 2.1.0-5+deb8u9
	运行在以下环境
	系统	debian_9	gd	*		Up to (excluding) 7.0.33-0+deb9u5
	运行在以下环境
	系统	fedora_28	gd	*		Up to (excluding) 3.4.4-1.fc28
	运行在以下环境
	系统	fedora_29	gd	*		Up to (excluding) 3.4.4-1.fc29
	运行在以下环境
	系统	fedora_30	gd	*		Up to (excluding) 3.4.4-1.fc30
	运行在以下环境
	系统	fedora_32	gd	*		Up to (excluding) 2.3.0-1.fc32
	运行在以下环境
	系统	opensuse_Leap_15.0	gd	*		Up to (excluding) 7.2.5-lp150.2.19.1
	运行在以下环境
	系统	opensuse_Leap_15.1	gd	*		Up to (excluding) 3.4.4-5.1
	运行在以下环境
	系统	opensuse_Leap_42.3	gd	*		Up to (excluding) 5.5.14-118.1
	运行在以下环境
	系统	oracle_8	gd	*		Up to (excluding) 1.5.2-1.module+el8.2.0+5569+98c8b30d
	运行在以下环境
	系统	redhat_8	gd	*		Up to (excluding) 5.1.12-2.module+el8.1.0+3202+af5476b9
	运行在以下环境
	系统	suse_12	apache2-mod_php5	*		Up to (excluding) 5.5.14-109.63
	运行在以下环境
	系统	suse_12_SP4	gd	*		Up to (excluding) 2.1.0-24.17.1
	运行在以下环境
	系统	suse_12_SP5	gd	*		Up to (excluding) 2.1.0-24.17.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	php5	*		Up to (excluding) 5.5.9+dfsg-1ubuntu4.29+esm3
	运行在以下环境
	系统	ubuntu_16.04.7_lts	php7.0	*		Up to (excluding) 7.0.33-0ubuntu0.16.04.4
	运行在以下环境
	系统	ubuntu_18.04.5_lts	php7.2	*		Up to (excluding) 7.2.17-0ubuntu0.18.04.1
	运行在以下环境
	系统	ubuntu_18.10	php7.2	*		Up to (excluding) 7.2.17-0ubuntu0.18.10.1

攻击路径

网络
攻击复杂度

高
权限要求

无
影响范围

未更改
用户交互

需要
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-787	跨界内存写

Chakra 脚本引擎内存损坏漏洞

漏洞描述

解决建议

参考链接

受影响软件情况