圖片來源: 

微軟

微軟於美國時間9月10日周二釋出本月Patch Tuesday安全更新,修補了80項漏洞,包括已經被開採的2個零時差攻擊漏洞。

本月修補的漏洞涵括瀏覽器、遠端程式碼用戶端軟體、SharePoint及Azure等產品。80項漏洞中,CVE-2019-1214 及 CVE-2019-1215 已經遭攻擊程式開採。兩者都屬於高度風險的權限升級漏洞,分別影響CLFS(Common Log File System,通用紀錄檔檔案系統)和ws2ifsl.sys(Winsock)服務,可讓駭客取得權限以執行惡意程式,進而接管系統。

80項漏洞中有17個被列為重大風險漏洞。其中4個存在遠端桌面用戶端程式,包括CVE-2019-0787、 CVE-2019-0788、CVE-2019-1290 和CVE-2019-1291,和之前的BlueKeep、類似BlueKeep又稱DejaBlue的RDS漏洞一樣,這4項漏洞也都是微軟內部研究人員發現,不過攻擊者必須誘使用戶連上惡意遠端桌面伺服器,才能完成攻擊。

3個重大漏洞發生在SharePoint,屬於遠端程式碼執行(RCE)漏洞,分別為2019-1257、 CVE-2019-1295及CVE-2019-1296。安全廠商Qualys將之列為需優先修補的漏洞。另有1個RCE漏洞CVE-2019-1306,同時影響Azure DevOps Server 及Team Foundations Server(TFS)。

此外,Qualys也提醒,瀏覽器、JavaScript引擎及LNK檔的重大漏洞,影響用以上網和收發電子郵件的系統,包括多使用者作為遠端桌面的伺服器,應該儘速更新。

除了微軟之外,AdobeSAP也在今天發佈安全更新,各修補了10個和13個漏洞。 

熱門新聞

Advertisement