隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2020
09
11

微軟9月Patch Tuesday修補129個安全漏洞,23個被列為重大等級 [轉載於iThome]

關鍵字:網頁設計程式設計JAVA程式設計資訊安全網頁設計作品

軟於本周二(9/8)釋出9月的安全更新,總計修補了129個安全漏洞,當中有23個被列為重大(Critical)等級,趨勢科技旗下的Zero-Day Initiative(ZDI)則將CVE-2020-16875視為此次微軟所修補的最嚴重漏洞。

此次安全更新涉及了15項微軟產品,從Windows、Dynamics 365 、Microsoft Edge、Microsoft Exchange、SharePoint到ASP.NET等,但並未有任何漏洞已被公開或開採。

遭ZDI點名的CVE-2020-16875漏洞,藏匿在Microsoft Exchange伺服器上,源自於它沒能正確驗證cmdlet參數。駭客只要傳送一個特製的郵件就能開採該漏洞,成功的開採將允許駭客以系統權限自遠端執行任意程式。由於之前類似的CVE-2020-0688漏洞很快就成為駭客的攻擊目標,在有了前車之鑑之後,ZDI建議企業應優先修補CVE-2020-16875。

不過,其實還有2個漏洞的CVSSv3的風險等級達到9.90,高於CVE-2020-16875的9.10,它們是CVE-2020-1210與CVE-2020-1595,皆屬於Microsoft SharePoint的遠端程式攻擊漏洞。

 

其中,CVE-2020-1210是因Microsoft SharePoint無法檢查應用程式套件的來源標記所造成,駭客只要上傳一個特製的SharePoint應用程式套件就能開採該漏洞。CVE-2020-1595則是肇因於在不安全的資料輸入時,APIs無法妥善被保護,駭客只要利用特定格式的輸入來存取易受害的API就能開採漏洞。

另一個值得注意的漏洞,是與Microsoft COM for Windows有關的CVE-2020-0922,問題出在於它處理記憶體中物件的方式,駭客只要誘導使用者開啟一個惡意檔案,或是將使用者引導至含有惡意JavaScript的網站上就能開採該漏洞,成功的開採亦允許駭客執行任意程式。

藏匿在Windows Codecs Library的CVE-2020-1129漏洞,也是因該函式庫不當處理記憶體中物件而產生,駭客只要誘導使用者檢視一個特製的圖片就能開採,並自遠端執行任意程式。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價