軟於本周二(9/8)釋出9月的安全更新,總計修補了129個安全漏洞,當中有23個被列為重大(Critical)等級,趨勢科技旗下的Zero-Day Initiative(ZDI)則將CVE-2020-16875視為此次微軟所修補的最嚴重漏洞。
此次安全更新涉及了15項微軟產品,從Windows、Dynamics 365 、Microsoft Edge、Microsoft Exchange、SharePoint到ASP.NET等,但並未有任何漏洞已被公開或開採。
遭ZDI點名的CVE-2020-16875漏洞,藏匿在Microsoft Exchange伺服器上,源自於它沒能正確驗證cmdlet參數。駭客只要傳送一個特製的郵件就能開採該漏洞,成功的開採將允許駭客以系統權限自遠端執行任意程式。由於之前類似的CVE-2020-0688漏洞很快就成為駭客的攻擊目標,在有了前車之鑑之後,ZDI建議企業應優先修補CVE-2020-16875。
不過,其實還有2個漏洞的CVSSv3的風險等級達到9.90,高於CVE-2020-16875的9.10,它們是CVE-2020-1210與CVE-2020-1595,皆屬於Microsoft SharePoint的遠端程式攻擊漏洞。
其中,CVE-2020-1210是因Microsoft SharePoint無法檢查應用程式套件的來源標記所造成,駭客只要上傳一個特製的SharePoint應用程式套件就能開採該漏洞。CVE-2020-1595則是肇因於在不安全的資料輸入時,APIs無法妥善被保護,駭客只要利用特定格式的輸入來存取易受害的API就能開採漏洞。
另一個值得注意的漏洞,是與Microsoft COM for Windows有關的CVE-2020-0922,問題出在於它處理記憶體中物件的方式,駭客只要誘導使用者開啟一個惡意檔案,或是將使用者引導至含有惡意JavaScript的網站上就能開採該漏洞,成功的開採亦允許駭客執行任意程式。
藏匿在Windows Codecs Library的CVE-2020-1129漏洞,也是因該函式庫不當處理記憶體中物件而產生,駭客只要誘導使用者檢視一個特製的圖片就能開採,並自遠端執行任意程式。
CI/平面設計 / 建築設計類
企業形象網站.Line OA / 美容保養類
網站技術:PHP . Javascript/MySql
儷寶得LINE OA官方帳號屬於美容方面、除刺青與雕塑體態...等等,透過LINE OA聊天室來進行預約、線上諮詢確認療程時間。
精選專案.網頁設計.RWD響應式網站 / 金融保險業
網站技術:PHP . Javascript/MySql
可以透過網站中的虛擬人才點數,搭配網站獨家的Alpha金融演算模型,實現美股虛擬交易的功能。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策