Microsoft Windows 產品接連發現漏洞,繼美國保安機構 CERT/CC 呼籲公眾立即更新以修補一個 Windows 10 捷徑檔的漏洞後, Microsoft 日前又公布一個針對 Microsoft Edge 瀏覽器安全漏洞的更新,並呼籲公眾立即處理。
第一個漏洞是來自 Windows 捷徑檔的, Windows 的 LNK 捷徑檔可以讓用戶不用重覆拷貝檔案,就在任意地方增設連結到指定檔案去以方便隨時叫用,但 Microsoft 並未安全地去取得圖示( Icon )給捷徑檔使用。另一方面,在 Win 10 的檔案總管顯示控制台項目時,由於 Win10 提供動態圖示功能,它會初始化各個物件以取得動態圖示,換句話說控制台程式會執行一連串程式。攻擊者可以透過這個捷徑檔,攻擊者就可以以控制台的文脈來執行任意程式碼。
這個漏洞的嚴重性在於程式碼可以放置於 USB 手指、本機以至遠端檔案系統、CD-ROM等地方,而用 Windows Explorer 閱覽有那種捷徑檔的目錄都會觸發洞漏。 Microsoft 已經在今年 6 月發出更新以修補這個漏洞,而 CERT/CC 就因為利用這個漏洞的程式碼已被公開披露而發出警告。
另一個漏洞是來自 Microsoft 新型瀏覽器 Edge ,它有機會不當存取記憶體中的物件,可能會損毀記憶體而讓攻擊者有機會以使用者層級來執行任意程式碼,受影響的包括各版本 Windows 10 和 Windows Server 2016。 由於事態緊急,Microsoft 就臨時為各個平台的 Edge 發出修正檔,各位可到這裡下載安裝。