微软才在上周例行性的Patch Tuesday中列出了36个安全漏洞,并修补其中35个,但本周微软却又紧急发布更新,修补位于SharePoint服务器上的CVE-2019-1491漏洞,这是一个信息披露漏洞,成功的开采将允许黑客读取SharePoint的任何文件,该漏洞仅被列为重要(Important)等级,也尚未遭到开采。
根据微软的说明,黑客只要传递一个特定的请求到SharePoint服务器,就能触发该漏洞,并让黑客能够读取服务器上的任何文件。
CVE-2019-1491影响SharePoint Enterprise Server 2016、SharePoint Foundation 2010 SP2、SharePoint Foundation 2013 SP1,以及SharePoint Server 2019,且已被并入Patch Tuesday中。
过去微软在Patch Tuesday以外所修补的漏洞,通常是已被开采或是属于重大漏洞,但CVE-2019-1491并不具备上述任一项特质,不过微软也未多加说明。
在12月的Patch Tuesday中,最受瞩目的安全漏洞为已被开采的CVE-2019-1458,它是Windows的权限扩张漏洞,黑客同时利用该漏洞及Chrome漏洞展开攻击。至于有一个被公布却未修补的漏洞则是CVE-2019-1489,它是藏匿在Remote Desktop Protocol(RDP)的信息披露漏洞,但由于它存在于微软已不再支持的Windows XP SP3,因此并未被修补。