時間:2018-04-11 來源:互聯網 瀏覽量:
微軟於本周二(4/10)的Patch Tuesday修補了超過60個安全漏洞,其中有24個被列為重大(Critical)漏洞,可能惹來遠程程序攻擊,其中,CVE-2018-103雖然隻被列為重要(Important)漏洞,卻是此次所修補的漏洞中,唯一已被公開的,此次微軟也罕見地修補了硬件漏洞—存在於微軟無線鍵盤850中的CVE-2018- 8117漏洞。
微軟的4月修補主要涉及Internet Explorer、Microsoft Edge、Microsoft Office、Microsoft Visual Studio、Microsoft Hyper-V、Microsoft EOT Font Engine、Microsoft Windows與ChakraCore等微軟產品。
在眾多漏洞中CVE-2018-1034漏洞為一存在於Microsoft SharePoint Server中的權限擴張漏洞,該漏洞源自於SharePoint Server無法妥善處理特定的網絡請求。成功開采該漏洞的黑客將能執行跨站腳本程序攻擊,並讀取原本未被授權的內容,也能使用受害者的身份於SharePoint網站上活動,諸如更改權限或刪除內容等。
雖然CVE-2018-1034漏洞在微軟修補前就被公開,不過它隻影響SharePoint Enterprise Server 2016,也尚未遭到攻擊。
至於CVE-2018-8117則為微軟Wireless Keyboard 850無線鍵盤中的安全繞過漏洞,根據微軟的說明,相關漏洞將允許黑客重新利用一個AES加密密鑰來將按鈕敲擊動作發送到其它鍵盤,或是讀取其它鍵盤傳回至被黑鍵盤的按鈕動作。要執行相關攻擊以前,黑客必須位於鍵盤的無線網絡範圍內並取得AES加密密鑰,為了解決該問題,微軟強製要求每個無線鍵盤所產生的AES加密密鑰都是獨一無二的。
除了本周二的定期修補之外,安全專家也呼籲用戶別忘了修補微軟於今年3月底緊急修補>的CVE-2018-1038漏洞。
