圖片來源: 

twitter.com/msftsecresponse/status/1176181336131784705

微軟周一在每月更新之外,針對Internet Explorer (IE) 及Windows Defender發佈修補程式,以分別修補出現在Windows 7到Windows 10上的遠端程式碼執行(Remote Code Execution,RCE)及阻斷服務(Denial of Service,DoS)漏洞,其中RCE零時差漏洞已經有攻擊程式,呼籲用戶儘速安裝。

IE上的零時差攻擊漏洞編號CVE-2019-1367,發生在IE腳本引擎處理記憶體物件的過程中,會造成記憶體毁損,使攻擊者可在現有使用者電腦上執行任意程式碼。成功開採本漏洞的駭客,可取得和現有使用者相同權限,如果後者具有管理員身份,則攻擊者將能接管整台機器,進而安裝程式、修改/變更/刪除資料,或是新增完整權限的用戶帳號。

在Web攻擊情境中,攻擊者可能發送郵件,誘使IE用戶點選其中URL以造訪惡意網站對用戶發動攻擊。

受影響產品眾多,包括微軟已不支援的Windows7、Windows 8.1、Windows 10 1703到1809版本、及Server 2012、2016及2019上的IE11、Server 2012上的IE10、以及Server 2008上的IE9。除了少數情形外,本漏洞在大部份平台上都屬於重大風險漏洞,微軟已經釋出漏洞修補程式,也呼籲用戶儘速安裝。但Windows 10 1903版上的IE 11修補程式,則只能由Microsoft Update Catalog手動安裝

ZDNet報導已有針對CVE-2019-1367的攻擊程式出現,是Google 威脅分析小組研究人員Clément Lecigne發現並通報微軟。這個小組本月也揭露了能被用來監視維吾爾人的iOS零時差漏洞。至於兩者是否相關目前不得而知。

第二項編號CVE-2019-1255的漏洞,則和Windows內建安全軟體Microsoft Defender(原名Windows Defender)中的惡意程式防護引擎(Malware Protection Engine)處理檔案不當有關。攻擊者開採本漏洞進而阻止合法帳號執行合法的系統二進位檔。所幸攻擊者必須要能在受害機器上執行程式,才能開採這個DoS漏洞,因此屬於安全風險較低的「重要」漏洞。

本漏洞是由F-Secure的Charalampos Billinis及騰訊玄武實驗室的Wenxu Wu 發現,影響的是惡意程式防護引擎1.1.16300.1版本。受到波及的受影響產品為微軟桌機安全軟體產品,包括Windows 7、8.1、Windows 10各版本,Server 2008、2012上的Windows Defender,以及Microsoft System Center Endpoint Protection、Microsoft Security Essentials。微軟已經發佈1.1.16400.2更新版本引擎,會在48小時內自動部署到用戶軟體上,並表示尚未發現有攻擊行為。

熱門新聞

Advertisement