微软修补两个已被骇客开采的零时差漏洞,,图片来源: 微软 微

原标题：微软修补两个已被骇客开采的零时差漏洞

示意图，与新闻事件无关。 图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞，当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373是个远端程式攻击漏洞，存在于IE...

示意图，与新闻事件无关。

图片来源:

微软

微软在8月的Patch△Tuesday修补了60个安全漏洞，当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。

CVE-2018-8373是个远端程式攻击漏洞，存在于IE浏览器脚本引擎处理记忆体中物件的方式，骇客可借由设置一个恶意网站、入侵合法网站、嵌入恶意广告，或是在代管IE描绘引擎的应用程序或Office文件中嵌入一个ActiveX控制来开采该漏洞。

成功的开采可造成记忆体损坏，并让骇客得以取得使用者权限并执行任意程式。该漏洞影响IE△9、IE△10与IE△11。

至于CVE-2018-8414也是个远端程式攻击漏洞，发生在Windows△Shell无法妥善验证档案路径时。骇客可通过电子邮件附加档案或是在网站上嵌入恶意档案来开采CVE-2018-8414，成功的攻击也能让骇客取得使用者权限并执行任意程式，自今年6月就传出多起锁定该漏洞的攻击行动。此一漏洞影响了32位元与64位元的Windows△10 1703/1709/1803，以及Windows△Server△1709/1803等作业系统。

趋势科技旗下的零时差倡议（Zero-Day△Initiative，ZDI）还特别提及了Microsoft△?Exchange记忆体损毁漏洞CVE-2018-8302。根据ZDI的说明，该漏洞允许一般Exchange用户取得NT△Authority\System帐户，以执行任意程式。

ZDI表示，修补Exchange总是令IT人员感到恐惧，因为大家都担心弄坏电子邮件伺服器，但这却是个不容忽视的漏洞。

橙山网（Csnd.net）简评：图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞，当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373