[摘要] 原标题:微软修补两个已被骇客开采的零时差漏洞 示意图,与新闻事件无关。 图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞
原标题:微软修补两个已被骇客开采的零时差漏洞
示意图,与新闻事件无关。 图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373是个远端程式攻击漏洞,存在于IE...
示意图,与新闻事件无关。
图片来源:微软
微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。
CVE-2018-8373是个远端程式攻击漏洞,存在于IE浏览器脚本引擎处理记忆体中物件的方式,骇客可借由设置一个恶意网站、入侵合法网站、嵌入恶意广告,或是在代管IE描绘引擎的应用程序或Office文件中嵌入一个ActiveX控制来开采该漏洞。
成功的开采可造成记忆体损坏,并让骇客得以取得使用者权限并执行任意程式。该漏洞影响IE△9、IE△10与IE△11。
至于CVE-2018-8414也是个远端程式攻击漏洞,发生在Windows△Shell无法妥善验证档案路径时。骇客可通过电子邮件附加档案或是在网站上嵌入恶意档案来开采CVE-2018-8414,成功的攻击也能让骇客取得使用者权限并执行任意程式,自今年6月就传出多起锁定该漏洞的攻击行动。此一漏洞影响了32位元与64位元的Windows△10 1703/1709/1803,以及Windows△Server△1709/1803等作业系统。
趋势科技旗下的零时差倡议(Zero-Day△Initiative,ZDI)还特别提及了Microsoft△?Exchange记忆体损毁漏洞CVE-2018-8302。根据ZDI的说明,该漏洞允许一般Exchange用户取得NT△Authority\System帐户,以执行任意程式。
ZDI表示,修补Exchange总是令IT人员感到恐惧,因为大家都担心弄坏电子邮件伺服器,但这却是个不容忽视的漏洞。
橙山网(Csnd.net)简评:图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373
网友评论