微軟Patch Tuesday修補2個發生攻擊的零時差漏洞

微軟於美國時間9月10日周二釋出本月Patch Tuesday安全更新，修補了80項漏洞，包括已經被開採的2個零時差攻擊漏洞。

本月修補的漏洞涵括瀏覽器、遠端程式碼用戶端軟體、SharePoint及Azure等產品。80項漏洞中，CVE-2019-1214 及 CVE-2019-1215 已經遭攻擊程式開採。兩者都屬於高度風險的權限升級漏洞，分別影響CLFS（Common Log File System，通用紀錄檔檔案系統）和ws2ifsl.sys（Winsock）服務，可讓駭客取得權限以執行惡意程式，進而接管系統。

80項漏洞中有17個被列為重大風險漏洞。其中4個存在遠端桌面用戶端程式，包括CVE-2019-0787、 CVE-2019-0788、CVE-2019-1290 和CVE-2019-1291，和之前的BlueKeep、類似BlueKeep又稱DejaBlue的RDS漏洞一樣，這4項漏洞也都是微軟內部研究人員發現，不過攻擊者必須誘使用戶連上惡意遠端桌面伺服器，才能完成攻擊。

3個重大漏洞發生在SharePoint，屬於遠端程式碼執行（RCE）漏洞，分別為2019-1257、 CVE-2019-1295及CVE-2019-1296。安全廠商Qualys將之列為需優先修補的漏洞。另有1個RCE漏洞CVE-2019-1306，同時影響Azure DevOps Server 及Team Foundations Server（TFS）。

此外，Qualys也提醒，瀏覽器、JavaScript引擎及LNK檔的重大漏洞，影響用以上網和收發電子郵件的系統，包括多使用者作為遠端桌面的伺服器，應該儘速更新。

除了微軟之外，Adobe和SAP也在今天發佈安全更新，各修補了10個和13個漏洞。