Microsoft 日前為旗下產品推出 11 月安全更新。不過港日美三地安全機構對其中一個漏洞 CVE-2022-41091 卻有不同見解:香港電腦保安事故協調中心 (HKCert) 評為中度風險,英文版 Microsoft Security Response Center (MSRC) 將最大嚴重性評為「重要」,但 MSRC 的日本安全小組就評為「緊急」,呼籲用戶立即更新。
據 HKCert 的公告,這個 CVE-2022-41091 規避 Windows Mark Of The Web 安全功能漏洞可以提升入侵者的權限,遠端執行程式碼,令程式和服務突然結束並洩露資料。
三地的保安機構都指出這個漏洞在推出修補程式前已經被發現廣泛利用,所以日本 MSRC 安全小組就將它評為「緊急」,日本兩個電腦安全機構 IPA 情報處理推進機構和 JPCERT/CC 都呼籲用戶盡速更新。
另一方面,香港 HKCert 就認為由於攻擊者需要說服用戶採取行動才能利用該漏洞,所以將該漏洞的風險程度評為中度風險。
無論這漏洞是否容易被利用,由於已經被不法分子利用,所以還是建議大家立即執行 Windows Update 更新系統,總比甚麼也不做好。