Microsoft釋出38個安全漏洞補丁 包含3個零時差漏洞
編譯/鄭智懷
Microsoft在美西當地時間週二(9日)宣布釋出38個安全漏洞補丁,其中包含3個零時差漏洞。另外,該公司在上周五(5日)還緊急發布11個針對Microsoft Edge漏洞補丁。
據網路媒體《BleepingComputer》報導,在本周二修復的安全漏洞中,其中有六個被劃分為「嚴重」,因為其涉及允許第三方遠端執行任意程式碼。
據統計,總共38個安全漏洞中,有8個權限提升(Elevation of Privilege)漏洞、4個安全功能繞過(Security Feature Bypass)漏洞、12個遠端執行程式碼漏洞、8個資料洩露(Information Disclosure)漏洞、5個阻斷服務(Denial of Service)漏洞與1個欺騙(Spoofing)漏洞。
在修復的三個零時差漏洞中,CVE-2023-29336與CVE-2023-24932已被駭客廣泛用於網路攻擊行動;CVE-2023-29325則已被發現,但還未出現大規模使用之現象。
Microsoft指出,CVE-2023-29336屬於權限提升漏洞,可以讓駭客入侵設備後,將權限提升至最高級別;CVE-2023-24932則屬於安全功能繞過漏洞,使駭客可以藉此對目標設備的韌體植入惡意軟體UEFI bootkit。由於該軟體在開機階段就下載,作業系統中的防毒軟體根本無法發現設備已經被感染。
至於CVE-2023-29325,其被歸類為遠端執行程式碼漏洞,是Microsoft Outlook中的物件連結及嵌入(OLE)功能錯誤。駭客可利用該漏洞寄送特製的電子郵件發動攻擊。無論受害者是直接打開電子郵件,或是透過預覽功能檢視郵件內容,攻擊方即可在前者設備上遠端執行程式碼,侵入或感染裝置。
鑒於上述安全漏洞高達六個漏洞涉及「嚴重」程度,且其他多個漏洞亦將導致高資安風險,建議各方應盡速更新,避免遭到危害。
資料來源:BleepingComputer
瀏覽 594 次