微軟修補三個 Windows 零時差漏洞！

微軟周二發佈例行安全公告，修補24項漏洞，包含三個Windows的零時差攻擊漏洞，其中一個為重要，兩個為重大等級。

其中值得注意的有 MS14-060，該更新修補由安全公司iSights所發現的零時差攻擊漏洞CVE-2014-4114。這項Windows OLE 遠端程式碼執行漏洞存在於各個版本的Windows及Windows Server 2008到2012，如果使用者具有管理員權限，攻擊者即能取得同樣的權限以安裝程式、讀取、更改、刪除檔案，或新增具管理員權限的使用者帳號。

iSights並已發現一個名為Sandworm的俄羅斯團體運用該漏洞來竊聽歐盟、北約國家，及烏克蘭重要人士的電腦。但這需要使用者開啟挾帶含有變造OLE物件的Office檔案才會被植入程式碼而遭入侵，因此微軟將MS14-060列為「重要」而非「重大」等級的安全更新。

另三項被微軟列為重大，必須優先更新的安全更新為MS14-058、MS14-056及MS14-057。其中 MS14-058　解決 Windows 中兩項未公開的零時差攻擊漏洞。這兩個漏洞是由FireEye發現，其中CVE-2014 -4148是一項TrueType字型剖析遠端程式碼執行漏洞，如果攻擊者引誘使用者開啟假造的文件、或造訪包含內嵌 TrueType 字型的不受信任網站，即可能遭到入侵，並允許駭客遠端執行程式碼。另一項是CVE-2014 -4113，為一Win32k.sys 權限提高漏洞。兩項漏洞微軟都已發現被用以發動攻擊。安全公司Crowdstrike指出，CVE-2014 -4113的攻擊與中國一個名為Hurricane Panda的駭客組織有關。

以上漏洞受影響版本包括Windows Server 2013/ 2008（包含SP2及x64位元版SP2、Itanium版）、 Server 2012 R2（不包含Server 2008）。Vista之後各個用戶端的Windows版本，含RT版。

MS14-056為積存式IE安全更新，修補14項漏洞。微軟指出，其中最嚴重的漏洞，可能在使用者以 IE 檢視蓄意製作的網頁時允許遠端執行程式碼，攻擊者可以藉以取得與使用者相同的權限。受影響版本為Windows上的IE 6至11，微軟並列為「重大」更新。不過Windows Server上的IE 至11只列為「中度」。

MS14-057修補了三項Microsoft.NET Framework中的遠端程式碼執行漏洞。微軟指出，如果攻擊者傳送蓄意製作且包含國際字元的 URI 要求給 .NET 網路應用程式，最嚴重可能會允許遠端執行程式碼，受影響軟體為 Windows 版本上的 Microsoft .NET Framework 2.0 SP 2、NET Framework 3.5、3.5.1、4 和 4.5/4.5.1/4.5.2。（編譯/林妍溱）