微軟在7月9日的Patch Tuesday修補了77個安全漏洞,其中有15個被列為重大(Critical)漏洞,另有兩個屬於零時差漏洞

這兩個已被開採的零時差漏洞,分別是CVE-2019-0880與CVE-2019-1132,前者存在於Windows中splwow64.exe處理特定呼叫的方式,可能衍生本地權限擴張漏洞。CVE-2019-0880本身並不算是個嚴重漏洞,只能把權限從低階程序(low-integrity)擴大到中階(medium-integrity),無法執行任意程式,但若結合其它的遠端程式執行或權限擴張漏洞,就能造成重大威脅。

CVE-2019-1132同樣是個權限擴張漏洞,當Windows中的Win32k元件無法適當處理記憶體中的元件時即會被觸發,成功開採該漏洞的駭客將能在核心模式執行任意程式。不過,要開採CVE-2019-1132必須先登入系統,並以特定的應用程式誘發漏洞,以掌控使用者系統。

儘管CVE-2019-0880與CVE-2019-1132已經遭到開採,但仍只被微軟列為重要(Important)漏洞。

另一個值得注意的是,在此次修補的15個重大漏洞中,有11個與IE 11或Microsoft Edge等瀏覽器有關,主要是涉及腳本引擎、Chakra腳本引擎、IE與Microsoft Browser的的記憶體毀損漏洞,相關漏洞都可招致遠端程式執行。


Advertisement

更多 iThome相關內容