Windows、Office零時差漏洞連環爆

日前微軟才剛修補好CVE-2014-4114、CVE-2014-4148及CVE-2014-4113三個零時差(Zero-Day)安全漏洞，沒想到10月21日又爆出微軟幾乎所有版本的Windows作業系統與Office應用軟體都存在有重大零時差安全漏洞的消息。雖然微軟已緊急釋出暫時性的權宜修補程式，但目前仍傳出透過PowerPoint漏洞發動目標式攻擊(Targeted Attack)的案例。

微軟10月21日發布編號3010060的最新安全公告指出，除了Windows Server 2003以外，所有Windows版本皆受到最新零時差安全漏洞的波及。該漏洞與編號MS14-060(3000869)的零時差漏洞非常相似，攻擊者同樣可透過內含OLE物件之惡意Office檔來運用該漏洞，進而在受駭系統上遠端執行惡意程式碼。

微軟表示，目前已出現企圖透過PowerPoint操控漏洞的目標式攻擊，所幸該攻擊無法劫持管理員權限的帳號，僅能以一般使用者的權限展開攻擊，但駭客仍可寄送內含惡意附件或惡意連結的郵件，誘使目標對象點擊，達到「引君入甕」的攻擊效果。

就算「幾乎所有版本的Windows與Office都存在有重大零時差安全漏洞」也不算是新聞！反正「破爛窗戶」跟「不良辦公室」十幾年... 甚至幾十年來，什麼時候沒有「重大零時差安全漏洞」？