微軟連續公布二個｢重大｣ 安全漏洞

【美博翻牆2020.3.26】近日，微軟在 3/12 公布了一項｢CVE-2020-0796｣安全漏洞、同時緊急推出安全更新，3/25微軟又發布警告出現另一項漏洞，但暫未推出更新補丁。微軟將這兩項漏洞的風險，都標為｢重大｣（critical）等級。

｢CVE-2020-0796｣ 是一個 SMB（Server Message Block）協議的漏洞，能讓駭客從遠距攻擊，在用戶的伺服器端或客戶端執行任何程式碼，並拿到系統的最高許可權。受影響的系統包括 Windows 10 和 Windows Server 的 v1903、v1909二個版本，但 Windows 7 系統不需更新、不受影響。該漏洞的嚴重風險相似於 2017 年的｢永恆之藍｣（EternalBlue），當年那一漏洞導致 WannaCry、NotPetya 等勒索軟體在該年份全球肆虐。微軟原先計畫到 4 月才推送補丁，但目前已緊急發布更新補丁讓用戶升級防護。

另一項漏洞則與 Windows 內建的 Adobe Type Manager 字體庫有關。該漏洞是以欺騙用戶開啟惡意文件（包含預覽）在內的方式，讓駭客可以遠距執行任意程式碼。

不過，與｢CVE-2020-0796｣不同，雖然同樣註記為｢重大｣資安風險漏洞，但這項漏洞則需等到 4 月（預計為 4/14），才會有正式的安全更新補丁。微軟也坦言，目前已查獲有駭客用這一途徑進行攻擊。會受到影響的系統包括所有 Windows 10 各種版本、Windows 7、Windows 8.1， 以及 Windows Server 2008、2012、2016 和 2019 版。

在正式安全更新補丁發布之前，微軟建議了一些方式來簡單自保，例如關閉 Windows 檔案總管的預覽和詳細內容窗格。