您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

微軟例外修補IE、Windows Defender兩重大漏洞

微軟(Microsoft)於9/23針對Internet Explorer (IE)及Windows Defender釋出修補程式,以修補出現在Windows 7到Windows 10上遠端程式碼執行(Remote Code Execution, RCE)及阻斷服務(Denial of Service, DoS)漏洞。其中RCE零時差漏洞已經有攻擊程式,微軟呼籲用戶須儘速安裝修補程式。

第一項漏洞為編號CVE-2019-1367,存在於IE上之零時差攻擊漏洞,發生於IE腳本引擎處理記憶體物件過程中,造成記憶體毁損,使攻擊者可在現有使用者電腦上執行任意程式碼。成功開採漏洞的攻擊者,可取得與現有使用者相同權限,如果後者具有管理員身份,則攻擊者將能接管整台機器,進而安裝程式、修改、變更及刪除資料,或另新增完整權限的用戶帳號。受影響產品眾多,包括微軟已不支援的Windows7、Windows 8.1、Windows 10 1703到1809版本、Server 2012、2016及2019上的IE11、Server 2012上的IE10及Server 2008上的IE9。除少數情形外,本漏洞在大部份平台上都屬於重大風險漏洞,微軟已釋出漏洞修補程式,也呼籲用戶儘速安裝。

第二項編號CVE-2019-1255漏洞,則與Windows內建安全軟體Microsoft Defender(原名Windows Defender)中的惡意程式防護引擎(Malware Protection Engine)處理檔案不當有關。成功開採漏洞的攻擊者,可執行阻斷服務攻擊。所幸攻擊者必須要能在受害機器上執行程式,才能開採該漏洞,因此屬於安全風險較低的「重要」漏洞。本漏洞是由F-Secure的Charalampos Billinis及騰訊玄武實驗室的Wenxu Wu發現,影響的是惡意程式防護引擎1.1.16300.1版本。受影響產品為微軟桌機安全軟體產品,包括Windows 7、8.1、Windows 10各版本,Server 2008、2012上的Windows Defender,以及Microsoft System Center Endpoint Protection、Microsoft Security Essentials。微軟已經發佈1.1.16400.2更新版本引擎,會在48小時內自動部署到用戶軟體上,並表示目前尚未發現攻擊行為。

Reference

資料來源:
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/#ftag=RSSbaffb68
https://portal.msrc.microsoft.com/zh-TW/security-guidance/advisory/CVE-2019-1367
https://portal.msrc.microsoft.com/zh-TW/security-guidance/advisory/CVE-2019-1255
https://www.ithome.com.tw/news/133226
技術服務中心整理
 

Publish Date
2019/10/4 0:00:00