10 日,微軟於 Patch Tuesday 發布多個安全漏洞修復,當中有超過三分之一為嚴重漏洞,值得一提的,是當中僅有一個是先前已知的漏洞,修補涉及的範圍相當廣,中包括 Internet Explorer、Edge、ChakraCore、Windows、Visual Studio、Microsoft Office、Office Services、Web Apps 以及微軟惡意軟體防護引擎等。
這次公開的漏洞中,有 24 個列為重大(Critical),微軟於 Wireless Keyboard 850 無線鍵盤發現的安全漏洞 CVE-2018-8117 比較罕見。根據微軟的說明,相關漏洞將允許駭客重新利用一個 AES 加密金鑰將按鍵敲擊動作傳送到其他鍵盤,或是讀取其他鍵盤傳回至被入侵鍵盤的按鍵動作。
注意字體庫遠端程式碼執行漏洞
至於存在於微軟 SharePoint Server 中的權限擴張漏洞 CVE-2018-1034,則是唯一一個已公開的漏洞。該漏洞只影響 SharePoint Enterprise Server 2016 ,因為 SharePoint Server 無法妥善處理特製的網路請求,可成功開採該漏洞的駭客將能執行跨站腳本程式攻擊,並讀取原本未被授權的內容,也能使用受害者的身分於 SharePoint 網站上活動,例如更改權限或刪除內容等。
另外,微軟還提醒用戶注意與 Windows 字體庫綁定的 5 個圖形遠端程式碼執行漏洞(CVE-2018-1010、-1012、-1013、-1015、-1016)。微軟表示,這些修補程式中的每一個都包含嵌入字體中的漏洞,這些漏洞可能允許在登錄用戶級別執行程式碼。由於網頁瀏覽、文檔、附件等均可查看字體,因此這這是一個涉及層面極廣泛的攻擊面,對攻擊者很有吸引力。至於另一個安全專家點名的,是 3 月底因 Meltdown 修補出現的 Windows 7 漏洞 CVE-2018-1038 。
(本文由 Unwire Pro 授權轉載;首圖來源:微軟)