微軟發佈 2 個 BlueKeep 等級重大安全漏洞警告　呼籲用戶儘速更新 Windows

過去幾個月來，系統管理員們無不忙著修補 Windows 遠端桌面服務（Remote Desktop Service, 即 Terminal Services）的 BlueKeep（CVE-2019-0708）漏洞。不管你修補好沒，微軟本周又再發佈 2 個風險等級近似 BlueKeep 的高風險漏洞。

新發現的漏洞編號為 CVE-2019-1181 與 CVE-2019-1182，這兩款漏洞都是位於 Windows RDS 套件中，且能讓攻擊者傳送惡意 RDP 訊息加以開採，且未來惡意程式都可以經由這些漏洞從受害 Windows 裝置感染其他 Windows 機器（即「wormable」），不需使用者做任何動作。

兩個漏洞一經成功開採，攻擊者可在受害 Windows 機器執行任意程式碼、植入程式、變更刪除資料，或開設完整權限的新帳號。兩漏洞 CVSS v3 Base Score 評風為 9.8，屬重大風險。

如果這樣描述你還不清楚有多危險，去年席捲全球使多家大電廠、醫院、機場、銀行營運停擺的 WannaCry 就是一個 Wormable 的勒索蠕蟲。微軟 5 月間警告 BlueKeep 有引發類似 WannaCry 災難之虞，影響所有 Windows PC 和伺服器版本，微軟還對 Windows XP、Server 2003 等不再支援的作業系統發佈例外更新。

不過不同於 BlueKeep，這兩個漏洞影響 Windows 10（桌機和伺服器版）、Windows 7 SP1、Windows 8.1、Windows Server 2008 R2 SP1、Server 2012/2012 R2，未影響到 Windows XP、Server 2003 及 Server 2008。

微軟本周已在每月的安全更新中修補了包括這兩個在內的 90 項漏洞。微軟安全回應中心指出，目前沒有發現有攻擊漏洞的惡意程式，但基於安全風險，呼籲企業及個人用戶應儘速升級 Windows 。

來源：ZDNet