微軟修復 66 個安全漏洞,1/3 以上為重大漏洞

作者 | 發布日期 2018 年 04 月 12 日 14:16 | 分類 Microsoft , Windows , 資訊安全 line share follow us in feedly line share
微軟修復 66 個安全漏洞,1/3 以上為重大漏洞


10 日,微軟於 Patch Tuesday 發布多個安全漏洞修復,當中有超過三分之一為嚴重漏洞,值得一提的,是當中僅有一個是先前已知的漏洞,修補涉及的範圍相當廣,中包括 Internet Explorer、Edge、ChakraCore、Windows、Visual Studio、Microsoft Office、Office Services、Web Apps 以及微軟惡意軟體防護引擎等。

這次公開的漏洞中,有 24 個列為重大(Critical),微軟於 Wireless Keyboard 850 無線鍵盤發現的安全漏洞 CVE-2018-8117 比較罕見。根據微軟的說明,相關漏洞將允許駭客重新利用一個 AES 加密金鑰將按鍵敲擊動作傳送到其他鍵盤,或是讀取其他鍵盤傳回至被入侵鍵盤的按鍵動作。

注意字體庫遠端程式碼執行漏洞

至於存在於微軟 SharePoint Server 中的權限擴張漏洞 CVE-2018-1034,則是唯一一個已公開的漏洞。該漏洞只影響 SharePoint Enterprise Server 2016 ,因為 SharePoint Server 無法妥善處理特製的網路請求,可成功開採該漏洞的駭客將能執行跨站腳本程式攻擊,並讀取原本未被授權的內容,也能使用受害者的身分於 SharePoint 網站上活動,例如更改權限或刪除內容等。

另外,微軟還提醒用戶注意與 Windows 字體庫綁定的 5 個圖形遠端程式碼執行漏洞(CVE-2018-1010、-1012、-1013、-1015、-1016)。微軟表示,這些修補程式中的每一個都包含嵌入字體中的漏洞,這些漏洞可能允許在登錄用戶級別執行程式碼。由於網頁瀏覽、文檔、附件等均可查看字體,因此這這是一個涉及層面極廣泛的攻擊面,對攻擊者很有吸引力。至於另一個安全專家點名的,是 3 月底因 Meltdown 修補出現的 Windows 7 漏洞 CVE-2018-1038 。

(本文由 Unwire Pro 授權轉載;首圖來源:微軟

延伸閱讀: