微软于本周二(9/13)的例行性更新中释出了14项安全公告,修补47个漏洞,其中有7项公告被列为重大(Critical)等级。同时微软也修补了一个藏匿在Detours中长达8年的安全漏洞。
7个被列为重大等级的安全公告分别是MS16-104、MS16-105、MS16-106、MS16-107、MS16-108、MS16-116及MS16-117。
其中的MS16-104及MS16-105分属IE及Microsoft Edge浏览器的累积更新,最严重的漏洞皆可在使用者检视恶意网页时执行远端程式攻击并取得使用者权限。
MS16-106修补的是微软Windows绘图元件的漏洞,MS16-107修补的是Microsoft ?Office中的漏洞,MS16-108修补Microsoft Exchange漏洞,MS16-116修补VBScript脚本引擎的OLE自动化漏洞,至于MS16-117则是修补Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1及Windows 10中的Adobe Flash Player安全漏洞,上述所修补的最严重漏洞都能导致远端程式攻击。
额外引起注意的是微软在MS16-107中修补的Detours漏洞。Detours是个可在x86机器上检测任何Win32功能的程式库,其商业版问世已超过10年,并有上百家独立软体开发商取得Detours授权。
资安业者enSilo说明,Detours是个钩子引擎,它可监控或变更作业系统的功能以让软体运作更有效率,对安全产品而言更形重要,例如防毒软体通常会透过钩子来监控系统上的恶意活动,而包括AVG、Kaspersky、McAfee、Symantec、Trend Micro、BitDefender、Citrix Xen Desktop、WebRoot及AVAST等资安业者都是Detours的用户。
enSilo发现了程式挂钩及注射技术的不当履行替众多钩子引擎带来的安全问题,包括微软的Detours在内,有些漏洞将允许骇客绕过作业系统的保护机制,进而在系统上蛰伏或植入程式。
enSilo指出,Detours上的漏洞至少已存在8年,几个月前他们便通知了微软及受影响的用户,有鉴于Detours的普及与知名品牌的採用,估计有数千款产品及数百万名使用者受到波及。
I 相关 / Other
微软表示,将从今年10月11日起,Windows 7 SP1与Windows Server 2008 R2上的IE 11将开始封锁旧版的Flash ActiveX控制项。ActiveX控制项是让网站提供影片或游戏等内容的小程式,以让使用者与内容互动,由于有些Active
研究:英美企业软体投资浪费高达340亿美元,Adobe、SAP、微软产品最常被闲置
图片来源: 1E-Software Usage and Waste Report 2016 一项调查报告显示,英国与美国的企业在软体投资的浪费金额,合计高达340亿美元(约合新台币1.0778兆元),而前十大遭闲置软体中,就有一半属于多媒体编辑类软体,显
MySQL惊爆零时差漏洞,殃及MariaDB与Percona DB
资安研究人员Dawid Golunski本周揭露一MySQL的零时差安全漏洞,它是一个重大漏洞,骇客可藉此接管资料库,且存在于所有MySQL版本中 ,并波及衍生的MariaDB与Percona DB。Golunski所公布的漏洞编号为CVE-2016-6662 ,
微软Office 365 Groups更新,访客也能参与群组交流
图片来源: Microsoft 微软于上周宣布于Office 365 Groups中新增访客存取功能,以让企业内部的团队可邀请外部人员参与群组的交流。Office 365 Groups为一协作功能,以让来自不同地点或时区的团队成员合作撰写文件、试
重庆司机冲卡后藏匿 民警巧施美人计 8月30日上午,重庆市警方接到了附近高速路段上执勤交警的电话,对方表示有一辆海马牌轿车因超载拒绝民警检查,并且强行撞开了高速的收费杆。通过车上乘客的报案,这辆车应该是一辆