.gif)
日前微軟才剛修補好CVE-2014-4114、CVE-2014-4148及CVE-2014-4113三個零時差(Zero-Day)安全漏洞,沒想到10月21日又爆出微軟幾乎所有版本的Windows作業系統與Office應用軟體都存在有重大零時差安全漏洞的消息。雖然微軟已緊急釋出暫時性的權宜修補程式,但目前仍傳出透過PowerPoint漏洞發動目標式攻擊(Targeted Attack)的案例。
微軟10月21日發布編號3010060的最新安全公告指出,除了Windows Server 2003以外,所有Windows版本皆受到最新零時差安全漏洞的波及。該漏洞與編號MS14-060(3000869)的零時差漏洞非常相似,攻擊者同樣可透過內含OLE物件之惡意Office檔來運用該漏洞,進而在受駭系統上遠端執行惡意程式碼。
微軟表示,目前已出現企圖透過PowerPoint操控漏洞的目標式攻擊,所幸該攻擊無法劫持管理員權限的帳號,僅能以一般使用者的權限展開攻擊,但駭客仍可寄送內含惡意附件或惡意連結的郵件,誘使目標對象點擊,達到「引君入甕」的攻擊效果。
目前微軟已針對32/64位元版PowerPoint 2007、2010及2013釋出暫時性的權宜修補程式;然而的實測發現,目前程式修補仍不到位,換言之,即使使用者安裝了修補程式,仍有遭到攻擊的風險。
面對此類零時差漏洞,企業除密切留意微軟公告的最新動向,即時下載針對該漏洞程式的修補程式;在修補程式發佈之前企業可透過Windows使用者帳戶控制(UAC)同意提示機制,密切監控任何利用該漏洞的可疑舉動,或者尋求中華電信等資安業者的建議,以MSSP資安服務來提升企業的資安整體防護。
更多企業資安解決方案訊息,可參考中華電信企業資安服務:http://secure365.hinet.net/hiips/default.jsp。