CVE-2014-6332這個漏洞也將威脅Windows XP使用者
CVE-2014-6332安全漏洞是由IBM X-Force安全研究人員所發現,並於今年5月通報微軟。這個漏洞 Windows 95 時代就已存在,長達19年都未被發現。由於微軟不再為Windows XP提供安全更新,因此這個漏洞也將威脅Windows XP使用者。
微軟在本月的例行性更新中釋出14項安全更新,包括修補一個Windows 95時代就已存在,長達19年都未被發現的安全漏洞。由於微軟不再為Windows XP提供安全更新,因此這個漏洞也將威脅Windows XP使用者。
漏洞存在於OleAut32很古老的程式碼中,但研究人員卻可以從IE內的VBScript成功進行攻擊,IE 3.0以後所有版本都可能受此影響。
Freeman指出,這項漏洞自19年前的Windows 95剛推出時就已經存在,而在隔年釋出的IE 3.0因推出Visual Basic Script (VBScript)而使得遠端攻擊成為可能。其他應用也可能有這項漏洞,但以IE 3.0被利用的風險最高。他並表示,其複雜性使它甚至可繞過IE 11的進階防護模式(Enhanced Protected Mode, EPM)沙箱及微軟免費提供的Enhanced Mitigation Experience Toolkit (EMET)防護工具。即使其他同樣存在於Windows library (OleAut32)中的漏洞都早已經被發現並修補,但這項漏洞卻潛藏了近20年。
安全研究人員並表示,駭客可利用這項漏洞執行多種攻擊法來執行遠端程式碼,而這也顯示,還有其他尚未發現的漏洞也可能運用傳統緩衝溢位或「使用釋放 後」(use-after-free)漏洞之外的攻擊手法來操控資料,進而進行資料值操控或執行遠端程式碼等。一般而言,攻擊者可能使用遠端程式碼安裝惡 意程式,然後植入鍵盤惡意程式、螢幕畫面擷取及遠端存取系統等。
根據微軟的MS14-064安全公告,這項漏洞影響包括各個版本的Windows伺服器及用戶端作業系統,從Windows Server 2003到Windows 8.1,其風險視版號而定,從「重要」到「重大」不等。
所幸目前研究人員沒有發現有攻擊行動蔓延,而且攻擊的難度也較高。但由於微軟已停止支援Windows XP,因此這些電腦可能成為攻擊的對象。
文章轉載來源ITHOME (編譯/林妍溱)
現今商業環境更趨複雜,無論是何種作業系統,單靠簡單的安全防護設備已不足以抵禦多變的惡意威脅,尤其網路攻擊事件,其精密度不斷增加,文中資訊提供專業的資安維護服務,不僅能夠提供軟硬體設備,讓企業安心的維持資訊系統正常運作,並將潛在風險降至最低,讓企業更專注於本業營運。