图片来源/微软
微软在周二(12/12)释出的Patch Tuesday修补了逾30个安全漏洞,当中有4个被列为重大(Critical)漏洞,另有一个已被公开的零时差漏洞CVE-2023-20588则是源自于AMD晶片。
CVE-2023-20588是在今年8月被揭露,根据AMD的描述,这是一个除以零(division by zero)错误,某些AMD处理器可能会因此回复推测资料,而失去保密性。此一漏洞同时影响AMD的资料中心、桌面与行动处理器,且需要更新软体平台才能缓解,微软因此于本月更新了Windows。
此次有两个重大漏洞与网路连线分享(Internet Connection Sharing,ICS)有关,分别是CVE-2023-35641与CVE-2023-35630,这是Windows的内建服务,允许一台连网电脑与其它电脑分享网路连线。这两个漏洞都仅能攻击与骇客处于同一网路交换器或虚拟网路的系统,骇客可借由传送恶意DHCP讯息至执行ICS服务的伺服器,或是变更某个输入讯息的长度栏位选项,来触发相关漏洞,成功的攻击将允许骇客自远端执行程式。
不过,ICS服务的预设值是关闭的,且不常被使用。
另一个同样允许远端程式攻击的重大漏洞为CVE-2023-35628,它牵涉到Microsoft Edge的IE模式所使用的Windows MSHTML Platform,骇客可透过电子邮件传送一个恶意连结,当受害者点选该连结之后,即可允许骇客执行任意程式。
本月微软修补的最严重漏洞为CVE-2023-36019,其CVSS风险评分高达9.6,该漏洞与Microsoft Power Platform Connector有关,属于欺骗漏洞,允许骇客将恶意的连结、应用程式或档案伪装成合法的以吸引受害者,最终也可导致远端程式攻击。
此外,CVE-2023-36019漏洞其实位在网页伺服器上,但恶意脚本程式则是在使用者的浏览器上执行。