根據Zero Day Initiative(ZDI)統計,今年微軟修補的安全漏洞數量,已經超越2017年以及2018年的全年總和,下個月很可能就會超越2019年的修補總數。(情境示意圖,Photo by Ryoji Iwata on unsplash)

微軟在7月的Patch Tuesday修補了123個安全漏洞,其中有18個被列為可造成遠端程式攻擊的重大(Critical)漏洞,其中之一為在Windows Sever中DNS元件潛藏了17年的CVE-2020-1350,它在CVSS 3.0風險評分中達到最高的10.0。另一個受到矚目的則是CVE-2020-1463,雖然這只是個被列為重要(Important)等級的權限擴張漏洞,但在微軟修補之前已被公開揭露。

此次微軟所修補的漏洞涉及十多種產品,涵蓋Windows、EdgeHTML版的Microsoft Edge、Chromium版的Microsoft Edge、IE、ChakraCore、Microsoft Office、Windows Defender、Skype for Business、Visual Studio、Microsoft OneDrive、.NET Framework、Azure DevOps與開源軟體。

根據Zero Day Initiative(ZDI)的統計,從今年的1月到7月,微軟所修補的安全漏洞總計已達742個,已經超越了2017年整年度的665個,以及2018年的691個,下個月很可能就會超越2019年的851個。

已被公開揭露的CVE-2020-1463出現在Windows的SharedStream函式庫處理記憶體物件時,成功的開採將允許駭客擴張權限以執行程式,前提是駭客必須具備本地端權限。

除了CVE-2020-1350與CVE-2020-1463之外,ZDI也特別說明了CVE-2020-1025、CVE-2020-1147與CVE-2020-1349等3個重大漏洞。其中,CVE-2020-1025同時存在於SharePoint Server及Skype for Business Server上,當它們不適當地處理OAuth權杖驗證時就會出現權限擴張漏洞,允許駭客繞過認證機制而執行不當的存取。

至於CVE-2020-1147亦同時存在於.NET Framework、SharePoint及Visual Studio,只要這些軟體無法檢查所輸入XML檔案的來源標記,就會產生遠端程式攻擊漏洞,而允許駭客執行任意程式。CVE-2020-1349則為Microsoft Outlook的遠端程式攻擊漏洞,原因來自於它無法妥善處理記憶體中的物件,駭客只要透過一個特製的檔案並誘導使用者開啟,就能以使用者權限執行程式。


Advertisement

更多 iThome相關內容