微軟周二發佈例行安全公告,修補24項漏洞,包含三個Windows的零時差攻擊漏洞,其中一個為重要,兩個為重大等級。
其中值得注意的有 MS14-060,該更新修補由安全公司iSights所發現的零時差攻擊漏洞CVE-2014-4114。這項Windows OLE 遠端程式碼執行漏洞存在於各個版本的Windows及Windows Server 2008到2012,如果使用者具有管理員權限,攻擊者即能取得同樣的權限以安裝程式、讀取、更改、刪除檔案,或新增具管理員權限的使用者帳號。
iSights並已發現一個名為Sandworm的俄羅斯團體運用該漏洞來竊聽歐盟、北約國家,及烏克蘭重要人士的電腦。但這需要使用者開啟挾帶含有變造OLE物件的Office檔案才會被植入程式碼而遭入侵,因此微軟將MS14-060列為「重要」而非「重大」等級的安全更新。
另三項被微軟列為重大,必須優先更新的安全更新為MS14-058、MS14-056及MS14-057。其中 MS14-058 解決 Windows 中兩項未公開的零時差攻擊漏洞。這兩個漏洞是由FireEye發現,其中CVE-2014 -4148是一項TrueType字型剖析遠端程式碼執行漏洞,如果攻擊者引誘使用者開啟假造的文件、或造訪包含內嵌 TrueType 字型的不受信任網站,即可能遭到入侵,並允許駭客遠端執行程式碼。另一項是CVE-2014 -4113,為一Win32k.sys 權限提高漏洞。兩項漏洞微軟都已發現被用以發動攻擊。安全公司Crowdstrike指出,CVE-2014 -4113的攻擊與中國一個名為Hurricane Panda的駭客組織有關。
以上漏洞受影響版本包括Windows Server 2013/ 2008(包含SP2及x64位元版SP2、Itanium版)、 Server 2012 R2(不包含Server 2008)。Vista之後各個用戶端的Windows版本,含RT版。
MS14-056為積存式IE安全更新,修補14項漏洞。微軟指出,其中最嚴重的漏洞,可能在使用者以 IE 檢視蓄意製作的網頁時允許遠端執行程式碼,攻擊者可以藉以取得與使用者相同的權限。受影響版本為Windows上的IE 6至11,微軟並列為「重大」更新。不過Windows Server上的IE 至11只列為「中度」。
MS14-057修補了三項Microsoft.NET Framework中的遠端程式碼執行漏洞。微軟指出,如果攻擊者傳送蓄意製作且包含國際字元的 URI 要求給 .NET 網路應用程式,最嚴重可能會允許遠端執行程式碼,受影響軟體為 Windows 版本上的 Microsoft .NET Framework 2.0 SP 2、NET Framework 3.5、3.5.1、4 和 4.5/4.5.1/4.5.2。(編譯/林妍溱)
熱門新聞
2024-11-25
2024-11-29
2024-11-15
2024-11-15
2024-11-28
2024-11-25