微軟發佈2個BlueKeep等級重大安全漏洞警告　呼籲用戶儘速更新Windows

過去幾個月來，系統管理員們無不忙著修補Windows遠端桌面服務（Remote Desktop Service, 即Terminal Services）的BlueKeep（CVE-2019-0708）漏洞。不管你修補好沒，微軟本周又再發佈2個風險等級近似BlueKeep的高風險漏洞。

新發現的漏洞編號為CVE-2019-1181與CVE-2019-1182，這兩款漏洞都是位於Windows RDS套件中，且能讓攻擊者傳送惡意RDP訊息加以開採，且未來惡意程式都可以經由這些漏洞從受害Windows裝置感染其他Windows 機器（即「wormable」），不需使用者做任何動作。

兩個漏洞一經成功開採，攻擊者可在受害Windows機器執行任意程式碼、植入程式、變更刪除資料，或開設完整權限的新帳號。兩漏洞CVSS v3 Base Score評風為9.8，屬重大風險。

如果這樣描述你還不清楚有多危險，去年席捲全球使多家大電廠、醫院、機場、銀行營運停擺的WannaCry就是一個Wormable的勒索蠕蟲。微軟5月間警告BlueKeep有引發類似WannaCry災難之虞，影響所有Windows PC和伺服器版本，微軟還對Windows XP、Server 2003等不再支援的作業系統發佈例外更新。

不過不同於BlueKeep，這兩個漏洞影響Windows 10（桌機和伺服器版）、Windows 7 SP1、Windows 8.1、Windows Server 2008 R2 SP1、Server 2012/2012 R2，未影響到Windows XP、Server 2003及Server 2008。

微軟本周已在每月的安全更新中修補了包括這兩個在內的90項漏洞。微軟安全回應中心指出，目前沒有發現有攻擊漏洞的惡意程式，但基於安全風險，呼籲企業及個人用戶應儘速升級Windows 。

來源：ZDNet