原标题:微软修补61个安全漏洞,包含已有攻击程式现身的零时差漏洞
示意图,与新闻事件无关。
图片来源:微软
微软于本周二(9/11)的每月例行性修补中,修补了61个安全漏洞,当中有17个属于重大(Critical)漏洞,以及一个概念性验证攻击程式已经出炉的零时差漏洞CVE-2018-8440。
CVE-2018-8440是个权限扩张漏洞,当Windows不正确地处理“本地过程调用”(Advanced△Local△Procedure△Call△,CLPC)的呼叫时就会现身,骇客必须要登入系统才能开采该漏洞,再执行特制程式以取得系统最高权限,因攻击程式已现身,各大资安业者皆呼吁Windows用户应该优先修补此一漏洞。
另有3个已被揭露的安全漏洞,分别是当Windows处理特制图片档案可导致远端程式攻击的CVE-2018-8475、藏匿在System.IO.Pipelines中并可带来服务阻断的CVE-2018-8409,以及影响IE与Microsoft△Edge的远端程式攻击漏洞CVE-2018-8457。不过这3个漏洞都尚传出攻击行动。
当中的CVE-2018-8475被许多资安业者列为最应优先修补的漏洞之一,因为骇客只要说服使用者检视一个恶意的图片,不管是借由讯息、文件或网页,都能允许骇客自远端执行任意程式。由于它非常容易开采,而且危及所有的Windows版本,预期相关的攻击程式应该很快就会出炉。
Zero△Day△Initiative也把CVE-2018-0965与CVE-2018-8439列为优先修补对象,它们虽然是两个不同的漏洞,却有着同样的攻击场景,成功的开采将允许虚拟机用户于主机上执行程式。
相关:
在企业实现DevOps的过程中,对于服务的开发与维护流程,所面临的大幅变化,因此,服务的安全性,也同样需要改变,无法再像以往,等待完全开发完成之后,再进行完整的渗透测试,确认没有问题才正式上线。针对上述的情
Google推出开源TensorBoard网页应用程序的新功能What-If△Tool,让使用者在不需要撰写任何程式码的情况下,检测机器学习模型,使用视觉化互动介面,探索模型结果。建构有效的机器学习系统有很多面向需要注意,除了演
英国航空遭骇案,骇客可能只用22行程式码就偷走38万名乘客个资
示意图,与新闻事件无关。 图片来源: British△Airways 英国最大的航空公司—英国航空(British△Airways,BA)在日前宣布官网与行动程式遭到骇客入侵,美国的威胁鉴识业者RiskIQ则发现,骇客是修改了BA网站所采用
微软Azure Pipelines登上GitHub市集,开源专案可免费使用
图片来源: 微软 微软周一(9/10)宣布,Azure△DevOps中的持续整合与持续交付(CI/CD)服务Azure△Pipelines已登上GitHub市集,并允许开源专案免费使用。Azure△Pipelines可支援各种平台及云端服务的持续建置、测试及
微软化整为零,发表Azure DevOps以取代Visual Studio Team Services
图片来源: 微软 微软在本周一(9/10)发表了Azure△DevOps,用以取代原本的研发云端服务Visual△Studio△Team△Services(VSTS),VSTS用户将会被自动升级到Azure△DevOps的各式服务中,至于就地部署的Team△Foundat