微軟於本周二(11/14)的每月例行性更新中修補了53個安全漏洞,其中有20個屬於重大(critical)漏洞,特別的是,微軟此次修補了Office中一個已存在17年的安全漏洞—CVE-2017-11882。
CVE-2017-11882雖然可招致任意程式攻擊,但只被微軟列為重要(Important)漏洞。根據微軟的說明,CVE-2017-11882是個記憶體毀損漏洞,主要是因Office未能妥善處理記憶體中的物件,若使用者以管理員權限登入,那麼駭客就能接管整個系統,繼之安裝程式、變更或刪除檔案,也能建立具備完整使用者權限的新帳號。
駭客只要能說服使用者開啟一個特製檔案就能開採該漏洞,不論是藉由電子郵件附加檔案、網路下載或是連結,影響Office與WordPad等微軟產品。
此一漏洞是由資安業者Embedi的安全研究人員Denis Selianin所揭露。 Selianin指出,出問題的是微軟在2000年所打造的Equation Editor,它的執行檔名稱為Eqned.exe,這是Office的預設工具,可於文件中插入及編輯方程式,被應用在Office 2000與Office 2003中。
自Office 2007起,微軟變更了顯示與編輯方程式的方法,也許是為了相容性的考量,微軟並未移除過時的Eqned.exe。然而,Selianin卻發現,這個老舊的Eqned.exe是在額外的空間執行,因此並未受到Windows或Office安全機制的保護,且已打造了可攻陷自2000年以來任何Windows平台上各種Office版本的攻擊程式。
有鑑於微軟早就終止某些Office版本的支援,因此本周只釋出供Office 2007、2010、2013與2016部署的更新程式。
from iThome 新聞 http://ift.tt/2AKWzUB
運動彩券 | 最高返水0.98精彩運動MLB、NBA比賽、直播
六合彩球 | 香港六合彩、大樂透、威力彩、今彩539
真人娛樂場 | 百家樂、德州撲克、麻將遊戲、21點、13支
電子遊戲 | 水果盤、捕魚達人千炮版、骰寶、輪盤
黃金期權 | 全新開放 、 股市 、 黃金 、 外幣
百鬼夜行 | 30線、4500倍、拉霸、五鬼運財
沒有留言:
張貼留言