Patch Tuesday：微軟修補99個安全漏洞，內含一個IE零時差漏洞

微軟在本周二（2/11）的Patch Tuesday每月例行性更新中，修補了99個安全漏洞，有11個被歸類為重大（Critical）漏洞，包含上個月已被開採的IE零時差漏洞CVE-2020-0674。

根據資安業者Sophos的統計，微軟在2月修補的99個漏洞中，有57%藏匿在Windows作業系統中，14%位於Win32k中，8%出現在腳本引擎，其它則散布在連網裝置平台服務、Windows CNG金鑰隔離服務及Windows核心中。

CVE-2020-0674漏洞存在於腳本引擎處理記憶體物件的方式，此一漏洞可用來破壞記憶體，成功的開採將允許駭客取得使用者權限，若使用者以管理員權限登入，代表駭客也能掌控整個系統，任意安裝程式、變更或刪除資料，也能建立具備完整使用者權限的新帳號。

此一漏洞同時波及Windows Server 2008上的IE 9、Windows Server 2012上的IE 10，Windows 7/8.1/10上的IE 11，以及Windows Server 2016/2019上的IE 11。但微軟已終止對Windows Server 2008與Windows 7的延伸支援，代表這次微軟並未修補這兩個平台上的CVE-2020-0674漏洞。資安專家奉勸這兩個平台的用戶，最好升級到Windows 10或是改用macOS裝置，因為部署最新的Windows修補程式是必要的。

除了已被開採的CVE-2020-0674之外，微軟也修補了3個已被揭露，但尚未被開採的安全漏洞，它們分別是存在於Windows Installer的CVE-2020-0683與CVE-2020-0686權限擴張漏洞，以及藏匿在微軟瀏覽器中的CVE-2020-0706資訊揭露漏洞。

此外，這次微軟修補的11個重大漏洞中，有6個位於腳本引擎，包括上述的CVE-2020-0674，以及CVE-2020-0710、CVE-2020-0711、CVE-2020-0712、CVE-2020-0713，與CVE-2020-0673。其中的CVE-2020-0710到0713波及基於EdgeHTML的Microsoft Edge，CVE-2020-0673與CVE-2020-0674則波及IE。它們皆為記憶體毀損漏洞，可造成遠端程式攻擊。

其它的重大漏洞，還有Windows的遠端程式攻擊漏洞CVE-2020-0662。存在於Windows遠端桌面客戶端程式中的程式攻擊漏洞CVE-2020-0681與CVE-2020-0734。允許駭客透過惡意.LNK檔案攻擊並取得系統控制權的CVE-2020-0729漏洞。以及位於Windows Media Foundation、同樣可造成遠端程式攻擊的CVE-2020-0738漏洞。