微軟八月安全更新：修補 6 個已被攻擊的零時差漏洞

微軟周二發佈 Windows 安全更新，並警告有 6 個漏洞已遭到濫用，呼籲用戶應儘速安裝更新。

微軟安全回應小組周二在八月份的 Patch Tuesday 之中，公佈將近 90 項 Windows 和 Windows 元件的漏洞公告，包含 10 項零時差漏洞。雖然漏洞數比起以往數量少，但 6 項已遭到濫用卻是歷來少見的。這 6 個零時差漏洞分別是：

1. CVE-2024-38178：為 Windows 腳本引擎 (Scripting Engine) 記憶體毁損漏洞，若驗證的用戶被誘騙點擊惡意連結，即能允許遠端程式碼執行攻擊。微軟指出，成功濫用本漏洞的要件是要讓電腦 Edge 啟用 IE Mode 上網。
2. 風險值 CVSS 7.5：本漏洞為韓國國家網路安全回應中心及業者 Ahn Lab 通報，顯示本次攻擊為一國家駭客的進階持續性滲透 (Advanced Persistent Threat) 攻擊。
3. CVE-2024-38189：為微軟 Project 的 RCE 漏洞，攻擊者可傳送惡意 Project 檔在系統執行，濫用該漏洞能關閉 Windows 防範網路 Office 文件巨集執行的功能遭到關閉，VBA 巨集執行通知也無法啟動，讓攻擊者得以遠端執行程式碼。漏洞風險值 CVSS 8.8 。
4. CVE-2024-38107：為 Windows 電源相依性協調器的權限升級漏洞。成功濫用本漏洞的攻擊者可以取得系統權限。風險值 CVSS 7.8，但微軟未提供任何入侵指標。
5. CVE-2024-38106：為 Windows 核心的權限升級漏洞，風險值 CVSS 7.0 。成功濫用本漏洞需要攻擊者贏得競爭條件 (race condition)，之後攻擊者將能取得 System 權限。
6. CVE-2024-38213：微軟指出，濫用本漏洞能讓攻擊者繞過 SmartScreen 的 Windows Mark of the Web (MotW) 安全功能。風險值 CVSS 4.4 。
7. CVE-2024-38193：為 Windows Ancillary Function Driver for WinSock 的權限升級漏洞。微軟未提供技術細節和入侵指標，只說成功濫用漏洞的攻擊者可取得 System 權限。

微軟也呼籲 Windows 管理員留意可能造成遠端程式碼執行、權限升級、跨站指令及安全功能繞　過的重大風險漏洞，包括影響 Windows Reliable Multicast Transport Driver (RMCAST) 的 RCE 漏洞 (CVSS 9.8) 、 Windows TCP/IP RCE 漏洞 (CVSS 9.8) 、 Windows Network Virtualization 的二項 RCE 漏洞 (皆為 CVSS 9.1)，以及發生在 Azure Health Bot 的資訊洩露漏洞 (CVSS 9.1) 。

來源：SecurityWeek