微軟6月Patch Tuesday中,公布CVE-2020-1213等3個屬於VBScript的遠端攻擊漏洞,允許駭客破壞記憶體並自遠端執行任意程式。

微軟在本周二的Patch Tuesday修補了129個安全漏洞,創下了微軟歷年來單月漏洞修補數量的新紀錄,當中有11個被列為重大(Critical)漏洞。此外,在129個漏洞中,有69個被歸類為權限擴張漏洞。6月並未出現任何零時差漏洞。

在11個重大漏洞中,有3個屬於VBScript的遠端攻擊漏洞,它們分別是CVE-2020-1213、CVE-2020-1216與CVE-2020-1260,這3個漏洞都與VBScript引擎處理記憶體中物件的方式有關,進而允許駭客破壞記憶體並自遠端執行任意程式。

還有一個與LNK有關的重大漏洞為CVE-2020-1299。駭客可在可攜式硬碟或遠端共享環境中,提供一個惡意的.LNK檔案與惡意的二進位檔,當使用者透過檔案總管或其它程式開啟該檔案時,就會驅動該二進位檔。

另一個重大漏洞則與Windows內建的Cabinet壓縮檔案有關,CVE-2020-1300出現在Windows無法妥善處理Cabinet檔案時,駭客可以設計一個特製的Cabinet檔案並誘導使用者開啟,亦屬遠端程式攻擊漏洞。

資安業者Sophos則列出了本月最值得注意的漏洞,包括Word的CVE-2020-1321漏洞,出現在Excel的CVE-2020-1225與CVE-2020-1226,Android版Word中的CVE-2020-1223,以及可繞過Windows核心安全功能的CVE-2020-1241漏洞。


Advertisement

更多 iThome相關內容