示意圖,與新聞事件無關。

微軟於本周二(4/10)的Patch Tuesday修補了超過60個安全漏洞,其中有24個被列為重大(Critical)漏洞,可能惹來遠端程式攻擊,其中,CVE-2018-103雖然只被列為重要(Important)漏洞,卻是此次所修補的漏洞中,唯一已被公開的,此次微軟也罕見地修補了硬體漏洞—存在於微軟無線鍵盤850中的CVE-2018-8117漏洞。

微軟的4月修補主要牽涉Internet Explorer、Microsoft Edge、Microsoft Office、Microsoft Visual Studio、Microsoft Hyper-V、Microsoft EOT Font Engine、Microsoft Windows與ChakraCore等微軟產品。

在眾多漏洞中CVE-2018-1034漏洞為一存在於Microsoft SharePoint Server中的權限擴張漏洞,該漏洞源自於SharePoint Server無法妥善處理特製的網路請求。成功開採該漏洞的駭客將能執行跨站腳本程式攻擊,並讀取原本未被授權的內容,也能使用受害者的身分於SharePoint網站上活動,諸如更改權限或刪除內容等。

雖然CVE-2018-1034漏洞在微軟修補前就被公開,不過它只影響SharePoint Enterprise Server 2016,也尚未遭到攻擊。

至於CVE-2018-8117則為微軟Wireless Keyboard 850無線鍵盤中的安全繞過漏洞,根據微軟的說明,相關漏洞將允許駭客重新利用一個AES加密金鑰來將按鍵敲擊動作傳送到其它鍵盤,或是讀取其它鍵盤傳回至被駭鍵盤的按鍵動作。要執行相關攻擊以前,駭客必須位於鍵盤的無線網路範圍內並取得AES加密金鑰,為了解決此一問題,微軟強制要求每個無線鍵盤所產生的AES加密金鑰都是獨一無二的。

除了本周二的定期修補之外,安全專家也呼籲使用者別忘了修補微軟於今年3月底緊急修補>的CVE-2018-1038漏洞


Advertisement

更多 iThome相關內容