示意圖,與新聞事件無關。

圖片來源: 

Microsoft

微軟於本周二(11/14)的每月例行性更新中修補了53個安全漏洞,其中有20個屬於重大(critical)漏洞,特別的是,微軟此次修補了Office中一個已存在17年的安全漏洞—CVE-2017-11882。

CVE-2017-11882雖然可招致任意程式攻擊,但只被微軟列為重要(Important)漏洞。根據微軟的說明,CVE-2017-11882是個記憶體毀損漏洞,主要是因Office未能妥善處理記憶體中的物件,若使用者以管理員權限登入,那麼駭客就能接管整個系統,繼之安裝程式、變更或刪除檔案,也能建立具備完整使用者權限的新帳號。

駭客只要能說服使用者開啟一個特製檔案就能開採該漏洞,不論是藉由電子郵件附加檔案、網路下載或是連結,影響Office與WordPad等微軟產品。

此一漏洞是由資安業者Embedi的安全研究人員Denis Selianin所揭露。 Selianin指出,出問題的是微軟在2000年所打造的Equation Editor,它的執行檔名稱為Eqned.exe,這是Office的預設工具,可於文件中插入及編輯方程式,被應用在Office 2000與Office 2003中。

自Office 2007起,微軟變更了顯示與編輯方程式的方法,也許是為了相容性的考量,微軟並未移除過時的Eqned.exe。然而,Selianin卻發現,這個老舊的Eqned.exe是在額外的空間執行,因此並未受到Windows或Office安全機制的保護,且已打造了可攻陷自2000年以來任何Windows平台上各種Office版本的攻擊程式。

有鑑於微軟早就終止某些Office版本的支援,因此本周只釋出供Office 2007、2010、2013與2016部署的更新程式。


Advertisement

更多 iThome相關內容