10月8日微軟發布本月例行更新(Patch Tuesday),總共修補117個漏洞,較上個月79個多出不少,也是今年第3次公告超過100個漏洞的情況,其中包含7個權限提升漏洞、7個安全功能繞過漏洞、43個遠端程式碼執行(RCE)漏洞、6個資訊洩漏洞、26個阻斷服務(DoS)漏洞,以及7個能用於欺騙的漏洞。縱觀上述資安弱點,有5個是已被公開的零時差漏洞,而有2個出現實際被利用的情況。
這些零時差漏洞分別是:Winlogon權限提升漏洞CVE-2024-43583、MSHTML平臺欺騙漏洞CVE-2024-43573、微軟管理主控臺(MMC)遠端程式碼執行漏洞CVE-2024-43572、Hyper-V安全功能繞過功能繞過漏洞CVE-2024-20659,以及Curl遠端程式碼執行漏洞CVE-2024-6197,CVSS風險評分介於8.8至6.5。
至於已出現攻擊行動的零時差漏洞,是指CVE-2024-43573、CVE-2024-43572。而CVE-2024-43573最令人擔心,因為這項漏洞涉及棄用的IE 11排版引擎MSHTML,影響Windows眾多作業系統版本(不含Windows Server 2008、Windows Server 2008 R2、Windows Server 2012),微軟指出除Edge的IE模式會存取MSHTML平臺,也有其他應用程式可能會藉由特定控制項存取而曝險,但該公司並未透露更多細節,後續有待研究人員進一步調查。
另一個也被用於攻擊的漏洞是CVE-2024-43572,微軟同樣未透露細節,以及駭客如何利用漏洞?他們只提到,本次更新可防堵用戶不慎開啟惡意Microsoft Saved Console(MSC)檔案的情況。
究竟駭客如何利用這些漏洞?微軟並未說明。
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23