微軟9月Patch Tuesday修補129個安全漏洞,23個被列為重大等級
文/陳曉莉 | 2020-09-09發表
微軟於本周二(9/8)釋出9月的安全更新,總計修補了129個安全漏洞,當中有23個被列
為重大(Critical)等級,趨勢科技旗下的Zero-Day Initiative(ZDI)則將
CVE-2020-16875視為此次微軟所修補的最嚴重漏洞。
此次安全更新涉及了15項微軟產品,從Windows、Dynamics 365 、Microsoft Edge、
Microsoft Exchange、SharePoint到ASP.NET等,但並未有任何漏洞已被公開或開採。
遭ZDI點名的CVE-2020-16875漏洞,藏匿在Microsoft Exchange伺服器上,源自於它沒能
正確驗證cmdlet參數。駭客只要傳送一個特製的郵件就能開採該漏洞,成功的開採將允許
駭客以系統權限自遠端執行任意程式。由於之前類似的CVE-2020-0688漏洞很快就成為駭
客的攻擊目標,在有了前車之鑑之後,ZDI建議企業應優先修補CVE-2020-16875。
不過,其實還有2個漏洞的CVSSv3的風險等級達到9.90,高於CVE-2020-16875的9.10,它
們是CVE-2020-1210與CVE-2020-1595,皆屬於Microsoft SharePoint的遠端程式攻擊漏洞
。
其中,CVE-2020-1210是因Microsoft SharePoint無法檢查應用程式套件的來源標記所造
成,駭客只要上傳一個特製的SharePoint應用程式套件就能開採該漏洞。CVE-2020-1595
則是肇因於在不安全的資料輸入時,APIs無法妥善被保護,駭客只要利用特定格式的輸入
來存取易受害的API就能開採漏洞。
另一個值得注意的漏洞,是與Microsoft COM for Windows有關的CVE-2020-0922,問題出
在於它處理記憶體中物件的方式,駭客只要誘導使用者開啟一個惡意檔案,或是將使用者
引導至含有惡意JavaScript的網站上就能開採該漏洞,成功的開採亦允許駭客執行任意程
式。
藏匿在Windows Codecs Library的CVE-2020-1129漏洞,也是因該函式庫不當處理記憶體
中物件而產生,駭客只要誘導使用者檢視一個特製的圖片就能開採,並自遠端執行任意程
式。
https://www.ithome.com.tw/news/139876
快更新!別讓自己成為駭客眼中的肥羊!