微軟在11月的Patch Tuesday修補了74個安全漏洞,其中有13個屬於重大(Critical)漏洞,並有一個IE零時差漏洞CVE-2019-1429 ,以及一個存在於Microsoft Office for Mac上、已被揭露但尚未被開採的CVE-2019-1457漏洞。

CVE-2019-1429衍生自IE腳本引擎處理記憶體中物件的方式,該漏洞可能造成記憶體損毀,而讓駭客得以執行任意程式,並使駭客取得與使用者同等的權限。

根據微軟的描述,駭客只要設立一個專門用來開採該漏洞的網站,然後誘導使用者造訪該站,就能開採此一漏洞,或者是在Office文件或應用程式中嵌入一個標示為安全的ActiveX控制器,也能藉由惡意廣告展開攻擊。此一已被開採的漏洞影響IE 9與IE 11。

至於CVE-2019-1457則是藏匿在Microsoft Office for Mac中,當使用者勾選了「不必通知就關閉所有巨集」(Disable all macros without notification)設定時,它卻依然容許Excel巨集的執行,而且不會跳出通知,該漏洞同時波及Office 2016 for Mac與Office 2019 for Mac。

此外,微軟修補了19個與繪圖元件有關的安全漏洞,以及9個涉及Windows Hyper-V的安全漏洞。


Advertisement

更多 iThome相關內容