呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：Google再度公開未修補的微軟漏洞摘要：根據該團隊的說明，微軟曾在2016年6月釋出的MS16-074修補了有關的漏洞，當時微軟宣稱這些漏洞將允許駭客繞過ASLR（位址空間配置隨機載入）的安全機制，導致機密資料外洩，若搭配其他漏洞則可造成程式攻擊。然而，Project Zero卻發現，MS16-074並未有效修補所有漏洞，仍有部份漏洞門戶大開，該團隊還打造了概念性驗證程式，只要利用含有惡意EMF檔案的.docx文件，就能從在地端的Internet Explorer或遠端的Office Online展開攻擊，取得諸如使用者資料或虛擬位址空間等機密資訊。不過，14天的揭露寬限期對現在的微軟來說並無太大幫助，微軟上周已宣布要把應該在2月14日釋出的例行性安全更新延後到3月14日。引用來源： http://www.ithome.com.tw/news/112062 #58aab637f091fe4a2f977c8a

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：Google再度公開未修補的微軟漏洞摘要：根據該團隊的說明，微軟曾在2016年6月釋出的MS16-074修補了有關的漏洞，當時微軟宣稱這些漏洞將允許駭客繞過ASLR（位址空間配置隨機載入）的安全機制，導致機密資料外洩，若搭配其他漏洞則可造成程式攻擊。然而，Project Zero卻發現，MS16-074並未有效修補所有漏洞，仍有部份漏洞門戶大開，該團隊還打造了概念性驗證程式，只要利用含有惡意EMF檔案的.docx文件，就能從在地端的Internet Explorer或遠端的Office Online展開攻擊，取得諸如使用者資料或虛擬位址空間等機密資訊。不過，14天的揭露寬限期對現在的微軟來說並無太大幫助，微軟上周已宣布要把應該在2月14日釋出的例行性安全更新延後到3月14日。引用來源： http://www.ithome.com.tw/news/112062

at Mon, Feb 20, 2017 5:26 PM