微軟發表 6 月份 Patch Tuesday 修補更新 快速堵上被駭客公佈的零時差漏洞

微軟周二（台北時間本周三）發佈名為 Patch Tuesday 的季度累積安全更新。本月微軟修補了 88 個漏洞包括 21 個被列為「重大」風險的漏洞。

Patch Tuesday 還修補了近幾個月來，被名為 SandboxEscaper 的安全研究人員所公開叫賣的 5 個 Windows 重大漏洞中的 4 個。

SandboxEscaper 上周才公佈第 5 個零時差漏洞，微軟還來不及完成修補程式的測試並加入到這次更新中。

好消息是雖然 SandboxEscaper 公佈這 4 個漏洞和攻擊程式碼，但沒有一個被用於惡意程式攻擊。此外，本月修補的所有 88 個漏洞也都未發現成為開採目標。

除了 Windows 及 Office 產品的修補程式，微軟還修補多項遠端程式碼執行 (remote code execution, RCE) 漏洞。首先，微軟修補了 AR/MR 頭戴式裝置 HoloLens 中 Broadcom 無線晶片組的 4 個 RCE 漏洞，包括 CVE-2019-9500、CVE-2019-9501、CVE-2019-9502 和 CVE-2019-9503。其次是 Chakra Scripting Engine、Microsoft Scripting Engine、Hyper-V hypervisor、Microsoft Speech API 及 Edge/IE 中的 RCE 漏洞，從 1 個到 9 個不等。

BLE 安全金鑰不得使用

上個月 Google 的 BLE 版 Titan 硬體安全金鑰傳出有漏洞，可能讓駭客在使用者以 BLE 金鑰登入帳號時冒充登入，或當 BLE 金鑰和用戶筆電配對時，使筆電連到駭客裝置。受影響的裝置包括 Google 的 Titan 及中國廠商 Feitian（飛天誠信）的 BLE 金鑰。

微軟表示已經封鎖了這些有安全問題的 BLE 金鑰和 Windows 的配對。微軟並建議這些用戶應向廠商索取免費換新產品。

其他修補

同一天，Adobe 和 SAP 也都分別發佈安全更新。Adobe 修補 ColdFusion、Flash Player 及 Campaign 產品的漏洞，SAP 則修補了 NetWeaver、BusinessObjects、R/3 ERP 及 E-Commerce 等產品中到高度風險漏洞。

Source: ZDNET