吳明宜
微軟周二發佈創紀錄的安全更程程式,包括 14 項公告,修補 34 個弱點。其中 8 項公告列為「重大」,6 項列為「重要」。
受影響的軟體為微軟 Office 、 Windows 、 Internet Explorer 瀏覽器、 Silverlight 、 XML 。
此外,微軟也針對 Windows Service Isolation 功能中權限升級的弱點發佈一項安全公告。
這次修補是 2009 年 10 月以來最大規模,當時微軟發出 13 項公告,修補 34 項弱點。
MS10-046 若算入,則總共會 15 項公告,但它是上周例行以外的更新,以修補 LNK 檔案中的零時差攻擊瑕疵。該弱點現已有 stuxnet 惡意程式家族攻擊。
Qualys CTO Wolfgang Kandek 建議 IT 管理員儘快修補使用者和連網相關的弱點。
14 項更新包括 MS10-053 、 Internet Explorer 相關 6 項弱點;MS10-055 、 Cinepak 程式碼弱點;MS10-052 、 Microsoft MPEG Layer-3 audio codecs 弱點;MS10-060 、 Silverlight 及.Net 的弱點;MS10-051 、 Internet Explorer MSXML ActiveX 元件的弱點,以及 MS10-049 、用戶端 HTTPS 的弱點。
前 5 個可攻擊緊急程度列為 1,第 6 個 MS10-049,列為 2 。 MS10-054 為可修補 SMB 協定的弱點。
賽門鐵克安全應變中心安全智能經理 Joshua Talbot 則認為這對大型企業也有影響。
「它不但使駭客取得 SMB 伺服器系統層的權限,而且它在電腦取得伺服器認證前已存在,這表示允許遠端存取的任何未裝防火牆防護的系統都有風險。」
Rapid 7 安全研究人員 Josh Abraham 則在電子郵件中指出,SMB 因為允許未獲授權的攻擊者在遠端系統上執行任意程式碼,「危險程度尤烈」。