微軟才在上周例行性的Patch Tuesday中列出了36個安全漏洞,並修補其中35個,但本周微軟卻又緊急釋出更新,修補位於SharePoint伺服器上的CVE-2019-1491漏洞,這是一個資訊揭露漏洞,成功的開採將允許駭客讀取SharePoint的任何檔案,該漏洞僅被列為重要(Important)等級,也尚未遭到開採。

根據微軟的說明,駭客只要傳遞一個特製的請求到SharePoint伺服器,就能觸發該漏洞,並讓駭客能夠讀取伺服器上的任何檔案。

CVE-2019-1491影響SharePoint Enterprise Server 2016、SharePoint Foundation 2010  SP2、SharePoint Foundation 2013 SP1,以及SharePoint Server 2019,且已被併入Patch Tuesday中。

過去微軟在Patch Tuesday以外所修補的漏洞,通常是已被開採或是屬於重大漏洞,但CVE-2019-1491並不具備上述任一項特質,不過微軟亦未多加說明。

在12月的Patch Tuesday中,最受矚目的安全漏洞為已被開採的CVE-2019-1458,它是Windows的權限擴張漏洞,駭客同時利用該漏洞及Chrome漏洞展開攻擊。至於有一個被公布卻未修補的漏洞則是CVE-2019-1489,它是藏匿在Remote Desktop Protocol(RDP)的資訊揭露漏洞,但由於它存在於微軟已不再支援的Windows XP SP3,因此並未被修補。


Advertisement

更多 iThome相關內容