⭐計字第103053號
教育機構ANA通報平台
發佈編號:TACERT-ANA-2014112508114545
發佈時間:2014-11-25 08:58:16
事故類型:ANA-漏洞預警
發現時間:2014-11-21 00:00:00
影響等級:中
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0028
微軟發布微軟物件連結與嵌入(OLE) 遠端執行程式碼之重大漏洞修補程式,美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2014-6332[2-3]。
OLE原用於允許應用程式共享資料或是功能,如word可直接嵌入excel資料,且可利用excel功能進行編輯。
在此漏洞中當使用者瀏覽特定網站時,可能導致攻擊者可透過該弱點遠端執行程式碼,如當下使用者具有管理者權限,則攻擊者可利用相同權限進行操作。目前微軟已發布此漏洞修補程式,修正OLE物件遭存取時進行驗證與IE處理記憶體中物件之方式來解決該漏洞。
請各機關檢視所屬Windows作業系統平台是否已針對微軟最新弱點進行修補。
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發。
[影響平台:]1.Windows Server 2003 SP2 、x64 Edition SP2及SP2 for Itanium-based Systems
2.Windows Vista SP2 和x64 Edition SP2
3.Windows Server 2008 for 32-bit Systems SP2 、x64-based Systems SP2 及Itanium-based Systems SP2
4.Windows 7 for 32-bit Systems SP1 和x64-based Systems SP1
5.Windows Server 2008 R2 for x64-based Systems SP1 和Itanium-based Systems SP1
6.Windows 8 for 32-bit Systems 和x64-based Systems
7.Windows 8.1 for 32-bit Systems 和x64-based Systems
8.Windows Server 2012 和Windows Server 2012 R2
9.Windows RT和Windows RT 8.1
10.Windows Server 2008 for 32-bit Systems SP2 (Server Core installation)、x64-based Systems SP2 (Server Core installation) 及R2 for x64-based Systems SP1 (Server Core installation)
11.Windows Server 2012 (Server Core installation) 和R2 (Server Core installation)
[建議措施:]請各機關檢視所屬Windows作業系統平台是否已針對微軟最新弱點進行修補。各版本修補資訊與微軟資訊安全公告對應詳見參考資料[1]中【Affected Software】章節各版本修補連結,建議立即進行安全性更新。
[參考資料:]1.https://technet.microsoft.com/en-us/library/security/ms14-064.aspx
2.http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6332
3.http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6332