53个安全漏洞中就有超过20个和微软IE、Microsoft Edge有关,且不少属于重大漏洞,可能导致远程程序攻击。微软于本周的每月例行性安全更新中修补了旗下15个产品的53个安全漏洞,其中有18个属于重大(Critical)漏洞,并有超过20个浏览器漏洞,本月微软并未修补任何的零时差漏洞。
在53个安全漏洞中有超过20个与IE或Microsoft Edge等浏览器有关,而且绝大多数为重大漏洞。Qualys产品管理总监Jimmy Graham认为,工作站类型的装置应该优先修补这些浏览器漏洞,因为这类装置的用户通常利用浏览器来存取公开网络或邮件服务。
在这些浏览器漏洞中,有6个与Microsoft Edge的Chakra脚本引擎有关,有5个被列为重大漏洞,皆可导致远程程序攻击,它们分别是CVE-2018-8280、CVE-2018-8286、CVE-2018-8290、CVE-2018-8294与CVE-2018-8298。
至于存在于Microsoft Edge的CVE-2018-8278则是属于欺骗漏洞,来自Edge未能适当处理特定HTML内容,允许黑客设计一个看起来像是合法的冒牌网站,而且是个很容易开采的漏洞。
另一个被资安业者点名的是CVE-2018-8310,该漏洞是因Microsoft Outlook在呈现HTML邮件时未能妥善处理特定的附加档案所造成的,成功开采该漏洞得以于邮件中夹带不可靠的TrueType字型,辅以其它攻击即能危害用户系统。尽管该漏洞的严重等级不高,但相关漏洞过去多半被应用在恶意软件攻击,得以用来散布恶意软件,甚至能躲过传统的安全过滤机制。
微软在本月也修补了存在于Windows域名系统DNSAPI的阻断服务漏洞,编号为 CVE-2018-8304漏洞源自于DNSAPI.dll未能正确处理DNS响应,黑客只要透过一个恶意的DNS服务器传送损坏的DNS回应予目标对象,就能造成系统停止响应。
相较于微软于上个月修补的CVE-2018-8225,CVE-2018-8304并无法造成权限扩张或远程程序攻击,因此仅被列为重要(Important)漏洞。 文章出自:惠仲工业科学小站 http://hertzhon.com.tw/
