示意圖,與新聞事件無關。

微軟於本周二(2/13)的Patch Tuesday安全更新中修補了50個安全漏洞,再加上針對CPU「推測執行」(speculative execution)瑕疵的緩解措施,以及已被開採的Adobe Flash漏洞。

其實微軟在上周便隨著Adobe的腳步,緊急修補了CVE-2018-4877與CVE-2018-4878兩個Flash的安全漏洞,只是本周再將它們納入Patch Tuesday中。它們皆屬於遠端程式攻擊漏洞,但其中的CVE-2018-4878已遭駭客用來攻擊

至於針對「推測執行」瑕疵的緩解措施則是在本周添加了針對32位元版Windows 10的保護。

在微軟此次所修補的50個漏洞中,並無已被開採的零時差漏洞,但有14個被列為重大(Critical)風險等級。被資安業者ZDI點名,認為應該立即修補的2個漏洞為CVE-2018-0852與CVE-2018-0850。

CVE-2018-0852與CVE-2018-0850皆藏匿於Microsoft Outlook中,其中,CVE-2018-0852為一記憶體毀損漏洞,該漏洞允許駭客取得使用者權限並自遠端執行任意程式,該漏洞的可怕之處在於使用者甚至不必開啟郵件,只需藉由Preview Pane預覽郵件就能招致攻擊。

至於CVE-2018-0850則是屬於Outlook的權限擴張漏洞,駭客只要發送一個可強迫Outlook載入SMB訊息的特製郵件,就能開採該漏洞,完全不需使用者的互動。

另一資安業者Qualys則建議Windows用戶應優先修補 CVE-2018-0825漏洞,該漏洞存在於StructuredQuery中,當無法妥善處理記憶體中的物件時就能觸發該漏洞,進而允許駭客執行遠端程式。


Advertisement

更多 iThome相關內容