繼 3/12 先公佈一項「CVE-2020-0796」安全漏洞、同時緊急推出安全更新之後,微軟稍早又警告另一項漏洞,且目前也暫未推出更新檔讓用戶安裝。微軟並將兩項漏洞的風險,都標為「重大」(critical)等級。
其中,較早公開的「CVE-2020-0796」是一個 SMB(Server Message Block)協議的漏洞,能讓駭客從遠距攻擊,在用戶的伺服器端或客戶端執行任何程式碼,並拿到系統的最高權限。受影響的機型,則包括 Windows 10 v1903、v1909,以及 Windows Server v1903、v1909,但 Windows 7 裝置則不受影響。
該漏洞在風險上,更被視為能與 2017 年的「永恆之藍」(EternalBlue)比擬。此一漏洞導致 WannaCry、NotPetya 等勒索軟體在該年份全球肆虐。微軟原先計畫到 4 月才推送補丁,但目前已緊急釋出更新檔讓用戶升級。
另一項漏洞則與 Windows 內建的 Adobe Type Manager 字體庫有關。該漏洞是以欺騙用戶開啟惡意文件(包含預覽)在內的方式,讓駭客可以遠距執行任意程式碼。
不過,與「CVE-2020-0796」不同,雖然同樣註記為「重大」資安風險漏洞,但這項漏洞則需等到 4 月(預計為 4/14),才會有正式的安全更新上線。微軟也坦言,目前已觀察到有駭客用這一途徑進行攻擊。會受到影響的裝置,則包括所有 Windows 10 機型、Windows 7、Windows 8.1, 以及 Windows Server 2008、2012、2016 和 2019 版。
在正式補丁上線前,微軟也建議了一些方式來簡單自保,例如關閉 Windows 檔案總管的預覽和詳細內容窗格。
《你可能還想看》
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法