Windows 10 的市佔在經過 Microsoft 的努力下終於有顯著進展,針對日新月異的安全性強化更新頻率更是相當頻繁,近日國外媒體發現在 Windows 10 更新小幫手(Update Assistant)中暗藏一個可使攻擊者具有 System 權限的漏洞,Microsoft 建議使用者盡快手動安裝更新以防堵該安全漏洞。
Windows 10 更新小幫手暗藏漏洞,Microsoft 建議用戶盡快安裝更新
根據國外媒體 SoftPedia 的報導,在 CVE-2019-1378 裡面記錄了 Windows 10 更新小幫手中的權限提升漏洞,該漏洞由 Jimmy Bayne 率先發現並且第一時間通報給 Microsoft,使用者無論安裝了哪個版本的 Windows 10,該漏洞都存在於更新小幫手中。Microsoft 也解釋這個漏洞會讓攻擊者最終可以創建擁有用戶完全權限的帳戶,最終捨去其它有效附載並控制設備的訪問權。
外媒指出,某些電腦在安裝 KB4023814 更新之後最終會運行 Windows 10更新小幫手,但此更新僅適用於運行Windows 10版本 1803(2018年4月更新)及更高版本的設備,並且專用於準備升級到 Windows 10 版本1903(2019年5月更新)。另一方面,如果手動安裝了更新工具,則在 Windows 10 1903 版上運行 Windows 10 更新小幫手的設備也較容易遭受攻擊。
目前 Microsoft 已經發布了新版本的更新小幫手來解決此漏洞,建議使用者盡快安裝它。修復該漏洞的唯一方式是手動安裝此新版本,至少要將此安裝到通過 Windows Update 自動發送到設備的更新中;另外比較消極的做法是可以選擇完全刪除 Windows 10 更新小幫手,這也是阻止攻擊的一種方式,但卻較不建議大家這麼做。
【手動更新網址:點這裡】
值得慶幸的是,該漏洞為私下通報,目前還沒有相關災情傳出。
◎資料來源:SoftPedia