原标题:微软修补68个安全漏洞,包含两个零时差攻击漏洞
示意图,与新闻事件无关。
图片来源:微软
微软于本周二(5/8)的Patch△Tuesday中修补了68个安全漏洞,其中有21个属于重大(Critical)等级,并有两个零时差攻击漏洞—CVE-2018-8174与CVE-2018-8120。
其中的CVE-2018-8174存在于Windows△VBScript△Engine,是在该引擎处理记忆体中的物件出现问题,属于远端攻击漏洞,成功开采该漏洞的骇客能取得现行用户的使用者权限,被微软列为重大漏洞。
在微软所描述的攻击场景中,骇客得以建立一个恶意网站,诱导使用者通过IE造访该站,而且它不仅影响IE浏览器,还影响任何采用IE描绘引擎的微软产品。率先揭露该漏洞的是中国的奇虎360安全团队,该团队在今年4月就揭露了此一漏洞,并宣称已有骇客利用恶意的Office档案攻击该漏洞。
另有一个虽然已被开采,但仅被列为重要(Important)等级的是CVE-2018-8120零时差漏洞。
CVE-2018-8120漏洞存在于Windows中,会在Win32k元件无法妥善处理记忆体中的物件时被触发,成功开采该漏洞的骇客得以于核心模式执行任意程式,诸如安装程式、检视/变更或删除资料,以及建立一个拥有完整权限的使用者帐号。不过骇客得要先登入系统并执行特定程式才能开采该漏洞并取得系统权限。
资安业者Sophos除了呼吁微软用户尽速修补CVE-2018-8174与CVE-2018-8120之外,也特别提及了CVE-2018-8141与CVE-2018-8170两个安全漏洞,当中的CVE-2018-8141允许骇客执行程式或扩张用户权限,CVE-2018-8170则是属于Windows△Image的权限扩张漏洞,这两个漏洞都只被微软列为重要漏洞。
相关:
图片来源: 李宗翰摄影 【美国旧金山现场报道】过往在系统与商业应用软件平台相互竞争的厂商,在云端服务当道的时代,彼此之间合作的机会变多了,就像今年的Red△Hat△Summit大会上,红帽特别宣布与IBM、微软之间的策
Build 2018:开源微软研究院发展十年的跨平台机器学习框架ML.NET
微软目标要让ML.NET成为通用开发工具,支援现存流行机器学习函式库 微软在其Build△2018大会上,发表了跨平台的机器学习框架ML.NET,能帮助开发者建立自己的机器学型模型,并使用在应用程序中,微软也强调,使用ML
微软开始实验用Kubernetes管理Azure IoT Edge应用
今年度微软开发者大会Build上,在整并Azure及Kubernetes的新应用领域端上许多新菜,除了简化Kubernetes丛集部署工作,还推出原生健康检查预览版功能,逐渐备齐Azure环境中使用Kubernetes的必备周边工具。不过除了这些
美国政府遴选无人机测试专案名单揭晓,Google与微软参与专案中选,独不见Amazon与大疆
示意图,与新闻事件无关。 图片来源: Google 继美国总统特朗普(Donald△Trump)在去年10月签署了Integration△Pilot△Program无人机测试专案之后,美国交通部(USDOT)在本周公布从各州政府所提出的149个专案中所
Build 2018:微软释出可订制化的全新翻译器,更贴近行业别翻译需求
微软最近在2018年的Build大会上推出可订制化的翻译器Translator△text△API△V3,除了通过神经机器翻译(Neural△Machine△Translation, NMT)在翻译前撷取文章中整个句子,提供更高品质翻译结果,再通过更像人声的模