微軟修補兩個已被駭客開採的零時差漏洞

微軟在8月的Patch Tuesday修補了60個安全漏洞，當中包含了兩個已被駭客開採的零時差漏洞—CVE-2018-8373與CVE-2018-8414。

CVE-2018-8373是個遠端程式攻擊漏洞，存在於IE瀏覽器腳本引擎處理記憶體中物件的方式，駭客可藉由設置一個惡意網站、入侵合法網站、嵌入惡意廣告，或是在代管IE描繪引擎的應用程式或Office文件中嵌入一個ActiveX控制來開採該漏洞。

成功的開採可造成記憶體損壞，並讓駭客得以取得使用者權限並執行任意程式。該漏洞影響IE 9、IE 10與IE 11。

至於CVE-2018-8414亦是個遠端程式攻擊漏洞，發生在Windows Shell無法妥善驗證檔案路徑時。駭客可透過電子郵件附加檔案或是在網站上嵌入惡意檔案來開採CVE-2018-8414，成功的攻擊也能讓駭客取得使用者權限並執行任意程式，自今年6月就傳出多起鎖定該漏洞的攻擊行動。此一漏洞影響了32位元與64位元的Windows 10 1703/1709/1803，以及Windows Server 1709/1803等作業系統。

趨勢科技旗下的零時差倡議（Zero-Day Initiative，ZDI）還特別提及了Microsoft  Exchange記憶體損毀漏洞CVE-2018-8302。根據ZDI的說明，該漏洞允許一般Exchange用戶取得NT Authority\System帳戶，以執行任意程式。

ZDI表示，修補Exchange總是令IT人員感到恐懼，因為大家都擔心弄壞電子郵件伺服器，但這卻是個不容忽視的漏洞。