微軟、Adobe發布更新 修復軟體錯誤與安全漏洞
編譯/高晟鈞
今天是微軟2月份的週二程式修補日(Patch Tuesday),除了微軟(Microsoft)本身發布了三個被積極利用的零日漏洞(尚未被修復的程式安全漏洞)和其餘共77個漏洞;Adobe公司在微軟與Apple公司先後發布安全程式後,也修復了旗下3個熱門程式--Photoshop、Illustrator和After Effects的多項安全漏洞。
微軟公司在今日更新中修復的第一個零日漏洞是CVE-2023-21823,可以允許駭客以System權限執行命令。System在系統中具有與系統管理員同等甚至更強大的管理權限,這項漏洞將引發多項個資安全問題。
第二項CVE-2023-21715則允許駭客在不警告用戶的情況下,從網站下載並打開Office文檔,通過文檔繞過防衛系統攻擊電腦。最後一項CVE-2023-23376允許駭客們,從用戶的通用紀錄檔系統(簡稱CLFS,記錄用戶端的記錄檔,並強制儲存記憶體緩衝區。)獲取System權限。
Adobe公司在兩大軟體系統公司Apple和Microsoft先後發布更新後才進行軟件的修復,以一次性修復涵蓋所有ios和microsoft系統軟體,其中包括了Photoshop、Illustrator和After Effects三種最受歡迎的產品。
根據Adobe的安全公告,被追蹤為CVE-2022-23187的Adobe Illustrator漏洞,是一種緩衝區溢位現象(超過緩衝區存處最大數據量而導致程式破壞),而駭客能從軟件中斷之際取得系統控制權並攻擊電腦。
第二項安全公告包括了4項Adobe After Effects漏洞,使得Windows和ios用戶面臨代碼攻擊。主要是Stack功能(可以拍下文檔照片並對其進行分類)所造成的緩衝區溢位。最後一項CVE-2022-24090則是Photoshop軟體中的一個嚴重缺陷,會導致內存洩漏。
目前這些零日漏洞與其他相關問題都已經被修復。BleepingComputer已連繫Microsoft並了解針對相關漏洞所進行的攻擊信息;另一方面Adobe則表示目前這些零日漏洞尚未遭到任何利用。
資料來源:Securityweek、Bleepingcomputer
瀏覽 486 次