微軟緊急修補SharePoint漏洞

微軟才在上周例行性的Patch Tuesday中列出了36個安全漏洞，並修補其中35個，但本周微軟卻又緊急發布更新，修補位於SharePoint伺服器上的CVE-2019-1491漏洞，這是一個信息披露漏洞，成功的開採將允許黑客讀取SharePoint的任何文件，該漏洞僅被列為重要（Important）等級，也尚未遭到開採。

根據微軟的說明，黑客只要傳遞一個特定的請求到SharePoint伺服器，就能觸發該漏洞，並讓黑客能夠讀取伺服器上的任何文件。

CVE-2019-1491影響SharePoint Enterprise Server 2016、SharePoint Foundation 2010 SP2、SharePoint Foundation 2013 SP1，以及SharePoint Server 2019，且已被併入Patch Tuesday中。

過去微軟在Patch Tuesday以外所修補的漏洞，通常是已被開採或是屬於重大漏洞，但CVE-2019-1491並不具備上述任一項特質，不過微軟也未多加說明。

在12月的Patch Tuesday中，最受矚目的安全漏洞為已被開採的CVE-2019-1458，它是Windows的許可權擴張漏洞，黑客同時利用該漏洞及Chrome漏洞展開攻擊。至於有一個被公布卻未修補的漏洞則是CVE-2019-1489，它是藏匿在Remote Desktop Protocol（RDP）的信息披露漏洞，但由於它存在於微軟已不再支持的Windows XP SP3，因此並未被修補。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！