微軟發佈 2 個 BlueKeep 等級重大安全漏洞警告 呼籲用戶儘速更新 Windows

當系統管理員們忙著修補Windows RDS的BlueKeep(CVE-2019-0708)漏洞。不管你修補好沒,微軟本周又再發佈2個風險等級近似BlueKeep的高風險漏洞。

過去幾個月來,系統管理員們無不忙著修補 Windows 遠端桌面服務(Remote Desktop Service, 即 Terminal Services)的 BlueKeep(CVE-2019-0708)漏洞。不管你修補好沒,微軟本周又再發佈 2 個風險等級近似 BlueKeep 的高風險漏洞。

新發現的漏洞編號為 CVE-2019-1181 與 CVE-2019-1182,這兩款漏洞都是位於 Windows RDS 套件中,且能讓攻擊者傳送惡意 RDP 訊息加以開採,且未來惡意程式都可以經由這些漏洞從受害 Windows 裝置感染其他 Windows 機器(即「wormable」),不需使用者做任何動作。

兩個漏洞一經成功開採,攻擊者可在受害 Windows 機器執行任意程式碼、植入程式、變更刪除資料,或開設完整權限的新帳號。兩漏洞 CVSS v3 Base Score 評風為 9.8,屬重大風險。

如果這樣描述你還不清楚有多危險,去年席捲全球使多家大電廠、醫院、機場、銀行營運停擺的 WannaCry 就是一個 Wormable 的勒索蠕蟲。微軟 5 月間警告 BlueKeep 有引發類似 WannaCry 災難之虞,影響所有 Windows PC 和伺服器版本,微軟還對 Windows XP、Server 2003 等不再支援的作業系統發佈例外更新。

不過不同於 BlueKeep,這兩個漏洞影響 Windows 10(桌機和伺服器版)、Windows 7 SP1、Windows 8.1、Windows Server 2008 R2 SP1、Server 2012/2012 R2,未影響到 Windows XP、Server 2003 及 Server 2008。

微軟本周已在每月的安全更新中修補了包括這兩個在內的 90 項漏洞。微軟安全回應中心指出,目前沒有發現有攻擊漏洞的惡意程式,但基於安全風險,呼籲企業及個人用戶應儘速升級 Windows 。

來源:ZDNet

 

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416