微軟在本周二(8/9)的例行性更新中釋出了9個安全公告,總計修補32個漏洞。 9個公告中有5個屬於重大(Critical)等級。 其中的MS16-102修補了Windows PDF Library的安全漏洞, 駭客只要利用特製的PDF檔案就能取得使用者權限。
5個被列為重大等級的安全公告分別是MS16-102、 MS16-099、MS16-097、MS16- 096及MS16-095。
資安研究人員分析,由於Windows 10中的Edge瀏覽器若被設為預設瀏覽器便會自動呈現PDF內容,因此很容易受到MS16-102影響。
微軟說明,如果使用者開啟了特製的PDF檔案, 或是直接在網路上瀏覽該PDF檔案, 駭客便能開採該漏洞並取得使用者權限, 假設使用者以管理員權限登入,駭客將能全權掌控使用者電腦, 包含建立新帳號、安裝程式或變更/刪除系統內的資料。
該漏洞影響了Windows 8.1、Windows Server 2012與Windows 10,對於可自動呈現PDF內容的Microsoft Edge瀏覽器而言風險更高。
MS16-099修補的則是4個記憶體毀壞漏洞, 相關漏洞影響微軟的Office產品,可導致遠端程式攻擊。 MS16-097修補的是位於Windows、Office、 Skype for Business及Lync所使用之Microsoft Graphics Component的3個漏洞, 成功開採同樣可用來執行遠端程式攻擊。
MS16-096屬於Microsoft Edge瀏覽器的累積安全更新, 修補了Edge中的8個安全漏洞, 最嚴重的漏洞只要引誘使用者檢視惡意網頁就能執行遠端程式攻擊或 取得使用者權限。MS16- 095則是修補位於IE的遠端程式攻擊與資訊外洩漏洞。