有關「微軟Windows之MSHTML引擎存在安全漏洞(CVE-2021-40444),允許攻擊者遠端執行任意程式碼」,請儘速完成系統更新
發佈者 :
資訊組
說明:
一、 依據110年9月21日本府資訊中心電子郵件通告單辦理。
二、 旨案係微軟Windows內之瀏覽器排版引擎MSHTML存在安全漏洞(CVE-2021-40444),MSHTML用於微軟瀏覽器與Office應用程式中,攻擊者可誘騙使用者開啟含有惡意ActiveX之Office文件,進而載入瀏覽器引擎並瀏覽惡意網頁,利用此漏洞遠端執行任意程式碼。
三、 行政院技術服務中心業於本(110)年9月15日發布漏洞/資安訊息警訊,建議套用微軟公司於本年9月14日 發布之重要更新以修復該漏洞(如附件1、2),並以電子郵件通告各縣市政府協助調查所屬機關學校針對此漏洞之更新修補情形及漏洞修補前之應變作為。
四、 查本案除影響個人電腦(windows7~windows10)外,貴校如轄管Windows Server 2008~Windows Server 2022之伺服器(參見附件1行政院技服中心公告受影響之作業系統),均需檢視(一般PC及Server版本)並下載相關更新程式,進行作業系統更新及相關弱點修補
五、 次查依教育部109年4月20日臺教資(四)字第1090054520號函頒「公立高級中等以下學校資通安全防護計畫」第五點、第七點第一項略以,各校若迄今仍維運自行或委外開發的核心資通系統(學校官網、DNS網域名稱服務、電子郵件伺服器、學習歷程檔案系統、校務行政系統及保有教職員生個人資料檔案之資通系統),本局需重新提交其資通安全責任等級為C級,報行政院核定;各校非核心資通系統,不得持有教職員生之個人資料,且應與核心資通系統有明確網路區隔並應列冊報教育部核定。
一、 依據110年9月21日本府資訊中心電子郵件通告單辦理。
二、 旨案係微軟Windows內之瀏覽器排版引擎MSHTML存在安全漏洞(CVE-2021-40444),MSHTML用於微軟瀏覽器與Office應用程式中,攻擊者可誘騙使用者開啟含有惡意ActiveX之Office文件,進而載入瀏覽器引擎並瀏覽惡意網頁,利用此漏洞遠端執行任意程式碼。
三、 行政院技術服務中心業於本(110)年9月15日發布漏洞/資安訊息警訊,建議套用微軟公司於本年9月14日 發布之重要更新以修復該漏洞(如附件1、2),並以電子郵件通告各縣市政府協助調查所屬機關學校針對此漏洞之更新修補情形及漏洞修補前之應變作為。
四、 查本案除影響個人電腦(windows7~windows10)外,貴校如轄管Windows Server 2008~Windows Server 2022之伺服器(參見附件1行政院技服中心公告受影響之作業系統),均需檢視(一般PC及Server版本)並下載相關更新程式,進行作業系統更新及相關弱點修補
五、 次查依教育部109年4月20日臺教資(四)字第1090054520號函頒「公立高級中等以下學校資通安全防護計畫」第五點、第七點第一項略以,各校若迄今仍維運自行或委外開發的核心資通系統(學校官網、DNS網域名稱服務、電子郵件伺服器、學習歷程檔案系統、校務行政系統及保有教職員生個人資料檔案之資通系統),本局需重新提交其資通安全責任等級為C級,報行政院核定;各校非核心資通系統,不得持有教職員生之個人資料,且應與核心資通系統有明確網路區隔並應列冊報教育部核定。