微軟10月修復118個零日漏洞 2大漏洞已對企業造成威脅
編譯/Cynthia
2024年10月,微軟發佈最新的安全更新,修補118個漏洞,其中兩個漏洞已經被駭客在實際環境中利用,這些漏洞對全球用戶及企業構成重大威脅,特別是那些尚未更新系統的設備更具風險。微軟每月例行的「Patch Tuesday」更新,再次強調即時修補漏洞的重要性,尤其當漏洞有可能被駭客用於大規模入侵時,系統更新變得更加關鍵,避免潛在的嚴重損害。
微軟依嚴重性分類118個漏洞
在這次更新中,微軟將118個漏洞依照嚴重性進行分類。當中有3個被評為「重大」漏洞,這些漏洞可能讓駭客完全掌控受影響的系統。113個被標記為「重要」,雖然攻擊難度較高或僅在特定情況下可被利用,但仍可能影響系統的穩定性和安全性。還有2個漏洞被歸類為「中等」風險,儘管威脅較低,但仍需注意。這種分類幫助系統管理員依據風險優先級來進行修補。
更多新聞:隱私有風險 Microsoft如何應對Recall的資安挑戰?
零日漏洞與其他高風險漏洞
這次更新中,特別受到關注的兩個漏洞是CVE-2024-43572和CVE-2024-43573,這兩個漏洞已被駭客在實際環境中積極利用。CVE-2024-43572是微軟管理主控台的遠端程式碼執行漏洞,CVSS評分7.8,表示駭客可利用該漏洞在系統上執行任意程式。CVE-2024-43573是Windows MSHTML平台的詐欺漏洞,CVSS評分6.5,駭客可能藉此漏洞欺騙使用者。另外CVE-2024-43468是Microsoft Configuration Manager的遠端程式碼執行漏洞,風險評分高達9.8,危險程度非常高。還有CVE-2024-43488和CVE-2024-43582,影響Visual Studio Code與遠端桌面通訊協定(RDP),這些漏洞同樣對企業構成重大威脅。
其他科技公司同步發布安全更新
除了微軟之外,其他科技公司如Adobe、Google和Cisco也在最近幾週內發布安全更新。Adobe修補多個重大漏洞,Google對其Chrome瀏覽器和Android系統進行多項修正,Cisco則針對其網路設備及Splunk等企業產品進行更新。隨著軟體和雲端服務在各產業中的普及,各大科技公司的更新對於維持安全性變得更為關鍵。無論是個人使用者還是企業IT系統,這些漏洞都可能帶來風險,因此即時進行更新至關重要。
立即修補零日漏洞
由於兩個正在被積極利用的零日漏洞已在外部環境中出現,企業和個人使用者應立即更新系統至最新版本,這些漏洞若被駭客成功利用,可能導致系統崩潰、資料外洩甚至業務中斷。系統管理員應優先修補CVE-2024-43572和CVE-2024-43573,尤其是企業使用的關鍵系統。對於其他尚未被利用的漏洞,仍建議儘早修補以降低風險。這次更新再次提醒我們,系統安全不僅是IT部門的責任,更是企業穩定運營的基本保障。
資料來源:The Hacker News
※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!
瀏覽 762 次