微軟、Adobe發布更新  修復軟體錯誤與安全漏洞

編譯／高晟鈞

今天是微軟2月份的週二程式修補日（Patch Tuesday），除了微軟（Microsoft）本身發布了三個被積極利用的零日漏洞（尚未被修復的程式安全漏洞）和其餘共77個漏洞；Adobe公司在微軟與Apple公司先後發布安全程式後，也修復了旗下3個熱門程式－－Photoshop、Illustrator和After Effects的多項安全漏洞。

微軟公司在今日更新中修復的第一個零日漏洞是CVE-2023-21823，可以允許駭客以System權限執行命令。System在系統中具有與系統管理員同等甚至更強大的管理權限，這項漏洞將引發多項個資安全問題。

第二項CVE-2023-21715則允許駭客在不警告用戶的情況下，從網站下載並打開Office文檔，通過文檔繞過防衛系統攻擊電腦。最後一項CVE-2023-23376允許駭客們，從用戶的通用紀錄檔系統（簡稱CLFS，記錄用戶端的記錄檔，並強制儲存記憶體緩衝區。）獲取System權限。

Adobe公司在兩大軟體系統公司Apple和Microsoft先後發布更新後才進行軟件的修復，以一次性修復涵蓋所有ios和microsoft系統軟體，其中包括了Photoshop、Illustrator和After Effects三種最受歡迎的產品。

根據Adobe的安全公告，被追蹤為CVE-2022-23187的Adobe Illustrator漏洞，是一種緩衝區溢位現象（超過緩衝區存處最大數據量而導致程式破壞），而駭客能從軟件中斷之際取得系統控制權並攻擊電腦。

第二項安全公告包括了4項Adobe After Effects漏洞，使得Windows和ios用戶面臨代碼攻擊。主要是Stack功能（可以拍下文檔照片並對其進行分類）所造成的緩衝區溢位。最後一項CVE-2022-24090則是Photoshop軟體中的一個嚴重缺陷，會導致內存洩漏。

目前這些零日漏洞與其他相關問題都已經被修復。BleepingComputer已連繫Microsoft並了解針對相關漏洞所進行的攻擊信息；另一方面Adobe則表示目前這些零日漏洞尚未遭到任何利用。

資料來源:Securityweek、Bleepingcomputer

瀏覽 385 次