Microsoft釋出38個安全漏洞補丁　包含3個零時差漏洞

編譯／鄭智懷

Microsoft在美西當地時間週二（9日）宣布釋出38個安全漏洞補丁，其中包含3個零時差漏洞。另外，該公司在上周五（5日）還緊急發布11個針對Microsoft Edge漏洞補丁。

據網路媒體《BleepingComputer》報導，在本周二修復的安全漏洞中，其中有六個被劃分為「嚴重」，因為其涉及允許第三方遠端執行任意程式碼。

據統計，總共38個安全漏洞中，有8個權限提升（Elevation of Privilege）漏洞、4個安全功能繞過（Security Feature Bypass）漏洞、12個遠端執行程式碼漏洞、8個資料洩露（Information Disclosure）漏洞、5個阻斷服務（Denial of Service）漏洞與1個欺騙（Spoofing）漏洞。

在修復的三個零時差漏洞中，CVE-2023-29336與CVE-2023-24932已被駭客廣泛用於網路攻擊行動；CVE-2023-29325則已被發現，但還未出現大規模使用之現象。

Microsoft指出，CVE-2023-29336屬於權限提升漏洞，可以讓駭客入侵設備後，將權限提升至最高級別；CVE-2023-24932則屬於安全功能繞過漏洞，使駭客可以藉此對目標設備的韌體植入惡意軟體UEFI bootkit。由於該軟體在開機階段就下載，作業系統中的防毒軟體根本無法發現設備已經被感染。

至於CVE-2023-29325，其被歸類為遠端執行程式碼漏洞，是Microsoft Outlook中的物件連結及嵌入（OLE）功能錯誤。駭客可利用該漏洞寄送特製的電子郵件發動攻擊。無論受害者是直接打開電子郵件，或是透過預覽功能檢視郵件內容，攻擊方即可在前者設備上遠端執行程式碼，侵入或感染裝置。

鑒於上述安全漏洞高達六個漏洞涉及「嚴重」程度，且其他多個漏洞亦將導致高資安風險，建議各方應盡速更新，避免遭到危害。

資料來源：BleepingComputer

瀏覽 479 次