2019-09-24
【Microsoft 大 Bug 未解再爆高危漏洞!!】
兩大安全漏洞波及 Win7、8.1、10 系統
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 Microsoft

Windows 10 1903 KB4512941 累積更新發佈後,不少用戶都開始中「Bug」,不過「屋漏偏逢連夜雨」,「Bug」未解決就發現有漏洞,存在安全漏洞的是 Internet Explorer (IE) 及 Windows Defender,使得遠程攻擊者能夠控制目標系統,官方已緊急發佈安全更新以修補出現在 Windows 7 到 Windows 10 上的遠端程式碼執行(Remote Code Execution,RCE)及阻斷服務(Denial of Service,DoS)漏洞,其中 RCE 零時差漏洞已經有攻擊程式,兩個安全漏洞被評為“嚴重”及“重要” 的風險,因此 Microsoft 打破每月更新的慣例發佈額外修復程式,可見兩個安全漏洞並不簡單。

 

據 Microsoft 的安全更新公告,這些漏洞(漏洞編號:CVE-2019- 1367 及 CVE-2019-1255) 使得遠程攻擊者能夠控制目標系統,在這兩個漏洞中,前者(漏洞編號:CVE-2019- 1367)會影響 Windows 7、8.1、10 系統中的 IE 9、 10 及 11 瀏覽器上的零日漏洞,而且更為嚴重。如果攻擊者成功利用遠程代碼執行漏洞,就可以獲得與受害者相同的用戶權限並執行任意代碼,例如用於查看、更改或刪除數據,或者創建新帳戶。

 

受影響產品眾多,包括 Microsoft 已不支援的 Windows7、Windows 8.1、Windows 10 1703 到 1809 版本、及 Server 2012、2016 及 2019 上的 IE11、Server 2012 上的 IE10、以及 Server 2008 上的 IE9。

 

Microsoft vulnerability

 

另一個安全漏洞 (漏洞編號:CVE-2019-1255) 會導致 Microsoft 自帶防毒軟件 Microsoft Defender 中觸發拒絕服務,問題出現在 Windows 用戶運行快速掃描或者全盤掃描時均在幾秒鐘後結束,並且只能掃描少數文件。

 

受到波及的受影響產品為微軟桌機安全軟體產品,包括Windows 7、8.1、Windows 10 各版本,Server 2008、2012 上的 Windows Defender,以及 Microsoft System Center Endpoint Protection、Microsoft Security Essentials。

 

Microsoft vulnerability


Microsoft 表示,CVE-2019- 1367 及 CVE-2019-1255 兩個漏洞影響面廣,分別歸類為“嚴重”及“重要”的安全風險,因此建議廣大用戶及時更新系統並安裝 Windows 更新,以免遭受攻擊。

 

Microsoft vulnerability

分享到:
發表評論