昨日,Microsoft 於 Patch Tuesday 發布多個安全漏洞收復,當中有超過 1/3 為嚴重漏洞,值得一提的,是當中僅有一個是早前已知的漏洞,而修補的涉及的範圍相當廣泛,當中包括Internet Explorer 、 Edge 、 ChakraCore 、 Windows 、 Visual Studio 、 Microsoft Office 、 Office Services 、 Web Apps 以及 Microsoft 惡意軟件防護引擎等。
是次公開的漏洞中,有 24 個被列為重大(Critical),而 Microsoft 於 Wireless Keyboard 850無線鍵盤中發現的安全漏洞 CVE-2018-8117 則是比較罕見。根據 Microsoft 的說明,相關漏洞將允許駭客重新利用一個 AES 加密金鑰來將按鍵敲擊動作傳送到其它鍵盤,或是讀取其它鍵盤傳回至被入侵鍵盤的按鍵動作。
留意字體庫遠程代碼執行漏洞
至於存在於Microsoft SharePoint Server中的權限擴張漏洞 CVE-2018-1034 則是唯一一個已公開的漏洞。該漏洞只影響 SharePoint Enterprise Server 2016 ,因著 SharePoint Server 無法妥善處理特製的網路請求,黑客就可成功開採該漏洞的駭客將能執行跨站腳本程式攻擊,並讀取原本未被授權的內容,也能使用受害者的身分於SharePoint 網站上活動,諸如更改權限或刪除內容等。
另外,Microsoft 還提醒用戶注意與Windows字體庫綁定的五個圖形遠程代碼執行漏洞(CVE-2018-1010,-1012,-1013,-1015,-1016)。 Microsoft 表示,這些修補程序中的每一個都包含嵌入字體中的漏洞,這些漏洞可能允許在登錄用戶級別執行代碼。由於網頁瀏覽,文檔,附件等方法均可查看字體,因此這這是一個涉及層面極廣泛的攻擊面,對攻擊者很有吸引力。至於另一個被安全專家點名的,是上月底因 Meltdown 修補而出現的 Windows 7漏洞 CVE-2018-1038 。
漏洞詳情:https://portal.msrc.microsoft.com/en-us/security-guidance