| CVE編號 | CVE-2014-6332(MS |
|---|---|
| 解決辦法 | 請各機關檢視所屬Windows作業系統平台是否已針對微軟最新弱點進行修補。各版本修補資訊與微軟資訊安全公告對應詳見參考資料[1]中【Affected Software】章節各版本修補連結,建議立即進行安全性更新。 [參考資料:] 1.https://technet.microsoft.com/en-us/library/security/ms14-064.aspx 2.http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6332 3.http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6332 |
| 張貼日 | 2014-11-25 |
| 上稿單位 | TWCERT/CC |
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0028
微軟發布微軟物件連結與嵌入(OLE) 遠端執行程式碼之重大漏洞修補程式,美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2014-6332[2-3]。
OLE原用於允許應用程式共享資料或是功能,如word可直接嵌入excel資料,且可利用excel功能進行編輯。
在此漏洞中當使用者瀏覽特定網站時,可能導致攻擊者可透過該弱點遠端執行程式碼,如當下使用者具有管理者權限,則攻擊者可利用相同權限進行操作。目前微軟已發布此漏洞修補程式,修正OLE物件遭存取時進行驗證與IE處理記憶體中物件之方式來解決該漏洞。
請各機關檢視所屬Windows作業系統平台是否已針對微軟最新弱點進行修補。