close
企業趨勢

Microsoft 收復 66 安全漏洞 1/3 以上為重大漏洞

昨日,Microsoft Patch Tuesday 發布多個安全漏洞收復,當中有超過 1/3 為嚴重漏洞,值得一提的,是當中僅有一個是早前已知的漏洞,而修補的涉及的範圍相當廣泛,當中包括Internet Explorer Edge ChakraCore Windows Visual Studio Microsoft Office Office Services Web Apps 以及 Microsoft 惡意軟件防護引擎等。

是次公開的漏洞中,有 24 個被列為重大(Critical),而 Microsoft Wireless Keyboard 850無線鍵盤中發現的安全漏洞 CVE-2018-8117 則是比較罕見。根據 Microsoft 的說明,相關漏洞將允許駭客重新利用一個 AES 加密金鑰來將按鍵敲擊動作傳送到其它鍵盤,或是讀取其它鍵盤傳回至被入侵鍵盤的按鍵動作。

留意字體庫遠程代碼執行漏洞

至於存在於Microsoft SharePoint Server中的權限擴張漏洞 CVE-2018-1034 則是唯一一個已公開的漏洞。該漏洞只影響 SharePoint Enterprise Server 2016 ,因著 SharePoint Server 無法妥善處理特製的網路請求,黑客就可成功開採該漏洞的駭客將能執行跨站腳本程式攻擊,並讀取原本未被授權的內容,也能使用受害者的身分於SharePoint 網站上活動,諸如更改權限或刪除內容等。

另外,Microsoft 還提醒用戶注意與Windows字體庫綁定的五個圖形遠程代碼執行漏洞(CVE-2018-1010-1012-1013-1015-1016)。 Microsoft 表示,這些修補程序中的每一個都包含嵌入字體中的漏洞,這些漏洞可能允許在登錄用戶級別執行代碼。由於網頁瀏覽,文檔,附件等方法均可查看字體,因此這這是一個涉及層面極廣泛的攻擊面,對攻擊者很有吸引力。至於另一個被安全專家點名的,是上月底因 Meltdown 修補而出現的 Windows 7漏洞 CVE-2018-1038

漏洞詳情:https://portal.msrc.microsoft.com/en-us/security-guidance

Tags : bughackersMicrosoft
Elliott Leung

The author Elliott Leung

曾混跡於財經界,初下海 IT 狗,見過偉雄見過誠哥,努力學習為讀者帶來更多財金及IT資訊。