原标题:微软Patch Tuesday修补53个漏洞,浏览器就有超过20个
示意图,与新闻事件无关。
图片来源:微软
微软于本周二(7/10)的每月例行性安全更新中修补了旗下15个产品的53个安全漏洞,其中有18个属于重大(Critical)漏洞,并有超过20个浏览器漏洞,本月微软并未修补任何的零时差漏洞。
在53个安全漏洞中有超过20个与IE或Microsoft△Edge等浏览器有关,而且绝大多数为重大漏洞。Qualys产品管理总监Jimmy△Graham认为,工作站类型的装置应该优先修补这些浏览器漏洞,因为这类装置的使用者通常利用浏览器来存取公开网络或邮件服务。
在这些浏览器漏洞中,有6个与Microsoft△Edge的Chakra脚本引擎有关,有5个被列为重大漏洞,皆可导致远端程式攻击,它们分别是CVE-2018-8280、CVE-2018-8286、CVE-2018-8290、CVE-2018-8294与CVE-2018-8298。
至于存在于Microsoft△Edge的CVE-2018-8278则是属于欺骗漏洞,来自Edge未能适当处理特定HTML内容,允许骇客设计一个看起来像是合法的冒牌网站,而且是个很容易开采的漏洞。
另一个被资安业者点名的是CVE-2018-8310,该漏洞是因Microsoft△Outlook在呈现HTML邮件时未能妥善处理特定的附加档案所造成的,成功开采该漏洞得以于邮件中夹带不可靠的TrueType字型,辅以其它攻击即能危害使用者系统。尽管该漏洞的严重等级不高,但相关漏洞过去多半被应用在恶意程式攻击,得以用来散布恶意程式,甚至能躲过传统的安全过滤机制。
微软在本月也修补了存在于Windows网域名称系统DNSAPI的阻断服务漏洞,编号为 CVE-2018-8304漏洞源自于DNSAPI.dll未能正确处理DNS回应,骇客只要通过一个恶意的DNS伺服器传送损坏的DNS回应予目标对象,就能造成系统停止回应。
相较于微软于上个月修补的CVE-2018-8225,CVE-2018-8304并无法造成权限扩张或远端程式攻击,因此仅被列为重要(Important)漏洞。
相关:
非常早就积极拥抱容器服务的微软,在今年6月Azure代管Kubernetes服务(Azure△Kubernetes△Service,AKS)推出正式版后,周边的Visual△Studio、.NET生态系都陆续与Kubernetes整合。而现在微软又再加强AKS的开发者功
Rust发出首个官方CVE资安通报,漏洞影响虽小但要大家保有资安意识
Rust迎来第一个通用漏洞披露(Common△Vulnerabilities△and△Exposures,CVE),红帽(Red△Hat)主动于7月3日向Rust官方通报,Rustdoc的套件功能存在意料之外的路径臭虫,当使用者没有传递路径给Rustdoc时,系统则
微软锁定教育市场发表10英寸平板笔电Surface Go,售价399美元
图片来源: 微软 微软于周一(7/9)发表了Surface△Go,这是一台10英寸的平板电脑,最低阶的售价只有399美元,着眼于教育市场,预计于今年8月上市。微软Surface家族现有的产品包括用来挑战Mac△Pro的二合一笔电Surfac
微软 Surface Go 现身 低阶平板迎战 Apple | 香港 UNWIRE.HK 玩生活.乐科技
市场早有传闻微软(Microsoft)将会推出一款价格不到 400 美元的低阶版新平板电脑 Surface Go ,以迎战苹果(Apple)的教育版 iPad 。如今新机正式发表,价格为 399 美元(约港币 HK$ 3,132)起,共有 2 种规格配置。
微软Azure Blob储存推出防窜改功能,加强金融法遵功能
微软Azure△Blob储存体服务,最近也推出不少新功能。先是整合Azure△AD,支援RBAC功能,简化企业管理资料存取的任务。再来是支援Soft△Delete功能正式上线,只要该功能启动,即使Blob储存体或其快照被删除,利用Soft