吳明宜微軟昨 (14) 日釋出六月 Patch Tuesday,修補 Windows 已遭攻擊的 Windows Follina 在內的 55 項漏洞。
Follina 又名 CVE-2022-30190,可經由傳送改造的 Office 文件開採以執行遠端程式碼。它的起因多年前就已公開,但似乎被微軟忽略,直到今年 5 月被研究人員提及。
Follina 首個攻擊大約是發生在今年 4 月,但之後就排山倒海而來。例如中國駭客用它來攻擊西藏用戶,犯罪組織則用它散佈 Qbot 、 AsyncRAT 和其他惡意程式。
雖然微軟今天才釋出修補程式,但之前已釋出暫時緩解的建議。
這項漏洞主要和微軟支援診斷工具(Microsoft Support Diagnostic Tool,MSDT)有關,影響 Windows 7 和 Windows Server 2008 以後的桌機及伺服器版本。研究人員也證實惡意程式也影響大部份 Office 。
今天釋出的修補程式包含在 6 月 Windows 累積更新,微軟強烈建議用戶應立即安裝以獲得完整防護。上述作業系統的用戶若啟用 Windows Update 自動更新者,則無需採取進一步行動。
微軟本月安全更新修補了涵括 Windows 、 Office 、 Azure 、 Endpoint Configuration Manager 、 Visual Studio 、 SQL Server 和 Microsoft Photos,修補的漏洞類型包括遠端程式碼執行、權限升級、資訊揭露及阻斷服務攻擊(DoS)等。
在 55 項漏洞中,有 3 項被列為重大,包括 CVE-2022-30136 (Windows NFS RCE) 、 CVE-2022-30163 (Windows Hyper-V RCE) 、及 CVE-2022-30139 (Windows LDAP RCE) 。微軟說,本月沒有提及公開的漏洞,且大部份漏洞的開採風險可能都列在「不太可能」及「不可能」。被列為「很可能」者只有 CVE-2022-30160 、 CVE-2022-30136 和 CVE-2022-30147 。
微軟已通知發生在 Intel 處理器的多個本地資訊洩露漏洞,這些漏洞被列為中度嚴重性,需要升級韌體及 Windows 更新才能緩解。
值得一提的是,微軟提醒用戶,Internet Explorer 11 將在今天(6/15)終止支援,微軟建議所有用戶轉換到 Edge 瀏覽器。
另外,Adobe 也在今天發佈 Patch Tuesday 安全更新,修補其 Animate 、 Bridge 、 Illustrator 、 InCopy 、 RoboHelp 和 InDesign 的 46 項漏洞。
來源: SecurityWeek