示意圖,與新聞事件無關。

圖片來源: 

微軟

微軟於本周二(7/10)的每月例行性安全更新中修補了旗下15個產品的53個安全漏洞,其中有18個屬於重大(Critical)漏洞,並有超過20個瀏覽器漏洞,本月微軟並未修補任何的零時差漏洞。

在53個安全漏洞中有超過20個與IE或Microsoft Edge等瀏覽器有關,而且絕大多數為重大漏洞。Qualys產品管理總監Jimmy Graham認為,工作站類型的裝置應該優先修補這些瀏覽器漏洞,因為這類裝置的使用者通常利用瀏覽器來存取公開網路或郵件服務。

在這些瀏覽器漏洞中,有6個與Microsoft Edge的Chakra腳本引擎有關,有5個被列為重大漏洞,皆可導致遠端程式攻擊,它們分別是CVE-2018-8280、CVE-2018-8286、CVE-2018-8290、CVE-2018-8294與CVE-2018-8298。

至於存在於Microsoft Edge的CVE-2018-8278則是屬於欺騙漏洞,來自Edge未能適當處理特定HTML內容,允許駭客設計一個看起來像是合法的冒牌網站,而且是個很容易開採的漏洞。

另一個被資安業者點名的是CVE-2018-8310,該漏洞是因Microsoft Outlook在呈現HTML郵件時未能妥善處理特定的附加檔案所造成的,成功開採該漏洞得以於郵件中夾帶不可靠的TrueType字型,輔以其它攻擊即能危害使用者系統。儘管該漏洞的嚴重等級不高,但相關漏洞過去多半被應用在惡意程式攻擊,得以用來散布惡意程式,甚至能躲過傳統的安全過濾機制。

微軟在本月也修補了存在於Windows網域名稱系統DNSAPI的阻斷服務漏洞,編號為 CVE-2018-8304漏洞源自於DNSAPI.dll未能正確處理DNS回應,駭客只要透過一個惡意的DNS伺服器傳送損壞的DNS回應予目標對象,就能造成系統停止回應。

相較於微軟於上個月修補的CVE-2018-8225,CVE-2018-8304並無法造成權限擴張或遠端程式攻擊,因此僅被列為重要(Important)漏洞。


Advertisement

更多 iThome相關內容