微軟緊急修補SharePoint漏洞

微軟才在上周例行性的Patch Tuesday中列出了36個安全漏洞，並修補其中35個，但本周微軟卻又緊急釋出更新，修補位於SharePoint伺服器上的CVE-2019-1491漏洞，這是一個資訊揭露漏洞，成功的開採將允許駭客讀取SharePoint的任何檔案，該漏洞僅被列為重要（Important）等級，也尚未遭到開採。

根據微軟的說明，駭客只要傳遞一個特製的請求到SharePoint伺服器，就能觸發該漏洞，並讓駭客能夠讀取伺服器上的任何檔案。

CVE-2019-1491影響SharePoint Enterprise Server 2016、SharePoint Foundation 2010  SP2、SharePoint Foundation 2013 SP1，以及SharePoint Server 2019，且已被併入Patch Tuesday中。

過去微軟在Patch Tuesday以外所修補的漏洞，通常是已被開採或是屬於重大漏洞，但CVE-2019-1491並不具備上述任一項特質，不過微軟亦未多加說明。

在12月的Patch Tuesday中，最受矚目的安全漏洞為已被開採的CVE-2019-1458，它是Windows的權限擴張漏洞，駭客同時利用該漏洞及Chrome漏洞展開攻擊。至於有一個被公布卻未修補的漏洞則是CVE-2019-1489，它是藏匿在Remote Desktop Protocol（RDP）的資訊揭露漏洞，但由於它存在於微軟已不再支援的Windows XP SP3，因此並未被修補。