原标题:微软修补两个已被骇客开采的零时差漏洞
示意图,与新闻事件无关。
图片来源:微软
微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。
CVE-2018-8373是个远端程式攻击漏洞,存在于IE浏览器脚本引擎处理记忆体中物件的方式,骇客可借由设置一个恶意网站、入侵合法网站、嵌入恶意广告,或是在代管IE描绘引擎的应用程序或Office文件中嵌入一个ActiveX控制来开采该漏洞。
成功的开采可造成记忆体损坏,并让骇客得以取得使用者权限并执行任意程式。该漏洞影响IE△9、IE△10与IE△11。
至于CVE-2018-8414也是个远端程式攻击漏洞,发生在Windows△Shell无法妥善验证档案路径时。骇客可通过电子邮件附加档案或是在网站上嵌入恶意档案来开采CVE-2018-8414,成功的攻击也能让骇客取得使用者权限并执行任意程式,自今年6月就传出多起锁定该漏洞的攻击行动。此一漏洞影响了32位元与64位元的Windows△10 1703/1709/1803,以及Windows△Server△1709/1803等作业系统。
趋势科技旗下的零时差倡议(Zero-Day△Initiative,ZDI)还特别提及了Microsoft△?Exchange记忆体损毁漏洞CVE-2018-8302。根据ZDI的说明,该漏洞允许一般Exchange用户取得NT△Authority\System帐户,以执行任意程式。
ZDI表示,修补Exchange总是令IT人员感到恐惧,因为大家都担心弄坏电子邮件伺服器,但这却是个不容忽视的漏洞。
相关:
Google剖析L1TF漏洞攻击,强调已完成云端漏洞防堵对策
针对英特尔本日发布的L1终端故障(L1 Terminal△Fault,L1TF)漏洞, Google也在博客宣布,在Compute△Engine中采用主机隔离功能,能够确保不同虚拟机器不会共享同一个核心,避开漏洞攻击的可能性,还部署了监控服务
小心! 已有数百名IG用户被骇,骇客窜改电话号码及Email挟持帐号
示意图,与新闻事件无关。 图片来源: Instagram 过去一周以来,至少有数百名Instagram(IG)用户的帐号遭到骇客入侵,而且骇客还变更了这些帐号的电话号码与电子邮件,等于是直接挟持了这些用户的帐号,其中不乏拥有
资安一周第4期:主流mPOS与25款Android手机韧体都有安全漏洞
企业安全解决方案供应商Positive表示,美国与欧洲市场的mPOS热门品牌,包括Square、SumUp、 iZettle与PayPal,都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交
吸引用户上云,微软Azure Migrate提供成本控制、Server 2008延长资安支援
图片来源: 微软 去年底,微软推出公有云服务的搬迁工具Azure△Migrate,免费帮用户将VMware环境搬移至Azure上运作,在业界一度引起不小的骚动。在今年3月该服务正式上线后,近日微软又宣布Azure△Migrate推出新功能,
Amazon、Google、微软等多家云端大厂联手,加速推动医疗云端资料的互通性
近日,美国资讯技术产业协会(Information△Technology△Industry△Council,ITI)与多家云端大厂,一同在华盛顿举办的Blue△Button会议中联合宣布,要一同移除技术间互通的障碍,加强医疗资料在云端环境的互通性(I