示意图,与新闻事件无关。
图片来源:Microsoft
微软于本周二(11/14)的每月例行性更新中修补了53个安全漏洞,其中有20个属于重大(critical)漏洞,特别的是,微软此次修补了Office中一个已存在17年的安全漏洞—CVE-2017-11882。
CVE-2017-11882虽然可招致任意程式攻击,但只被微软列为重要(Important)漏洞。根据微软的说明,CVE-2017-11882是个记忆体毁损漏洞,主要是因Office未能妥善处理记忆体中的物件,若使用者以管理员权限登入,那么骇客就能接管整个系统,继之安装程式、变更或删除档案,也能建立具备完整使用者权限的新帐号。
骇客只要能说服使用者开启一个特制档案就能开采该漏洞,不论是借由电子邮件附加档案、网络下载或是连结,影响Office与WordPad等微软产品。
此一漏洞是由资安业者Embedi的安全研究人员Denis△Selianin所揭露。 Selianin指出,出问题的是微软在2000年所打造的Equation△Editor,它的执行档名称为Eqned.exe,这是Office的预设工具,可于文件中插入及编辑方程式,被应用在Office△2000与Office△2003中。
自Office△2007起,微软变更了显示与编辑方程式的方法,也许是为了相容性的考量,微软并未移除过时的Eqned.exe。然而,Selianin却发现,这个老旧的Eqned.exe是在额外的空间执行,因此并未受到Windows或Office安全机制的保护,且已打造了可攻陷自2000年以来任何Windows平台上各种Office版本的攻击程式。
有鉴于微软早就终止某些Office版本的支援,因此本周只释出供Office△2007、2010、2013与2016部署的更新程式。
I 相关 / Other
示意图,与新闻事件无关。 为了平息外界对政府拥有漏洞军火库的疑虑,美国政府周三公布安全漏洞揭露原则,说明美政府如何判断何种漏洞会公布、何种可以隐藏。?前美国总统奥巴马时代成立了“漏洞公正性评估流程”(
好用!微软发表Visual Studio Live Share,写程式能像共享文件一样多人同时编辑了
微软在本周二(11/15)发表了Visual△Studio△Live△Share,让Visual△Studio△2017与Visual△Studio△Code的开发人员能够即时协作、共同撰写程式,近日便会迈入封闭预览阶段。Visual△Studio△Live△Share让开发团队
微软举行Connect(); 2017大会。示意图,与新闻事件无关。 图片来源: Microsoft 微软投入开源码阵营再加码,微软在Connect(); 2017宣布加入MariaDB基金会成为等级最高的白金会员,也将把MariaDB推向Azure云端环境。
【深度剖析企业级K8s服务】微软Azure Container Service多方管道支援K8s,双吃Windows和Linux企业需求
起初,Azure容器服务最先整合的调度工具是Docker△Swarm,后来除了整并Mesosphere的DC/OS外,今年2月也正式支援了Kubernetes,目前已经更新至Kubernetes△1.8.1版,提供开发者多方选择。(图片来源/微软) 微软Az
图片来源: CC△2.0 by△Matt△Brubeck 有鉴于愈来愈多的骇客滥用微软Windows中的动态资料交换(Dynamic△Data△Exchange,DDE)协议来散布恶意程式,微软上周发表了4053440安全通报(Security△Advisory),以协助使