微軟本週發佈 04 月份重要安全性更新共 4 個，摘要說明如下：
1. ms14-017 Microsoft Word 和 Office Web Apps 中的資訊安全風險可能會允許遠端執行程式碼 (2949660)
   嚴重等級：重大

    

2. ms14-018 Internet Explorer 積存資訊安全更新 (2950467)
   嚴重等級：重大

    

3. ms14-019 Windows 檔案處理元件中的資訊安全風險可能會允許遠端執行程式碼 (2922229)
   嚴重等級：重要

    

4. ms14-020 Windows Microsoft Publisher 中的資訊安全風險可能會允許遠端執行程式碼 (2950145)
   嚴重等級：重要

Windows 作業系統與元件：
• Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 SP2 for Itanium-based Systems
• Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems, R2 and SP2
• Windows Server 2008 for x64-based Systems, R2 and SP1
• Windows Server 2008 for Itanium-based Systems, R2 and SP1
• Windows 7 x32 Service Pack 1
• Windows 7 x64 Service Pack 1
• Windows 8 x32
• Windows 8 x64
• Windows 8.1 x32
• Windows 8.1 x64
• Windows Server 2012
• Windows RT
• Windows RT 8.1
• Windows Server 2008 for 32-bit Systems, R2 and SP1(Server Core 安裝)
• Windows Server 2008 for x64-based Systems, R2 and SP1(Server Core 安裝)
• Windows Server 2012 (Server Core 安裝)
• Windows Server 2012 R2 (Server Core 安裝)

Microsoft Office 套件及軟體：
• Microsoft Office 2003 Service Pack 3
• Microsoft Office 2007 Service Pack 3
• Microsoft Office 2010 Service Pack 1 x32
• Microsoft Office 2010 Service Pack 2 x32
• Microsoft Office 2010 Service Pack 1 x64
• Microsoft Office 2010 Service Pack 2 x64
• Microsoft Office 2013 x32
• Microsoft Office 2013 Service Pack 1 x32
• Microsoft Office 2013 x64
• Microsoft Office 2013 Service Pack 1 x64
• Microsoft Office 2013 RT
• Microsoft Office 2013 RT Service Pack 1
• Microsoft Office for Mac 2011
• Microsoft Word Viewer
• Microsoft Office 相容性套件 Service Pack 3

MMicrosoft Office Services 和 Web Apps：
• Microsoft SharePoint Server 2010 Service Pack 1
• Microsoft SharePoint Server 2010 Service Pack 2
• Microsoft SharePoint Server 2013
• Microsoft SharePoint Server 2013 Service Pack 1
• Microsoft Office Web Apps 2010 Service Pack 1
• Microsoft Office Web Apps 2010 Service Pack 2
• Microsoft Office Web Apps 2013
• Microsoft Office Web Apps 2013 Service Pack 1

OpenSSL 1.0.1 版本存在系統弱點，根據外部組織公告，惡意人士可透過網站所使用的OpenSSL 的HeartBeat 功能，利用記憶體弱點攻擊成功後可取得SSL/TLS 憑證內容，進而取得網站所有資訊。

網路上已釋出攻擊程式，經測試可取得SSL/TLS 憑證內容，詳細內容請參考 HiNet 全球預警情報網OpenSSL 弱點通告 ，中華電信SOC 在此建議管理者盡速修補。

【影響範圍】

• OpenSSL 1.0.1 到 1.0.1f 版本
• OpenSSL 1.0.2 beta 到 1.0.2 beta1 版本

【參考資料】

• OpenSSL
• Heartbleed
• CVE

• v1.0 (2014/04/10)：發佈事件通告。

目前已知會受到影響的版本為JDK / JRE 7 Update 51 (含)之前版本、JDK / JRE 6 Update 71 (含)之前版本、JDK / JRE 5 Update 61 (含)之前版本及JDK / JRE 8 (含)之前版本，中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。

Oracle 官方網站公布 JAVA 存在暴露機敏資訊等多項弱點，遠端使用者可能使用以下弱點： (1)客戶端及伺服器端部屬的2D 子元件錯誤可被任意用來執行惡意程式碼、通過不信任的不信任的 Java Web Start 應用程式及不受信任的JAVA 程序以導致程序終止。 (2)客戶端及伺服器端部屬的Libraries 子元件錯誤(包含unpack200 工具)，可被用來執行任意程式碼。 (3)在客戶端及伺服器端部署的 JNDI、Security 或Javadoc 子元件錯誤，可被用來任意更新、插入或刪除某些資料。 (4)在客戶端部署的Deployment 、JavaFX 、Libraries 、2D 、Hotspot 、AWT 、JAX-WS 、JAXB 、Security 或Sound 子元件錯誤，可被用來任意通過不受信任的 Java Web Start 應用程式及不受信任的JAVA程序以暴露、更新、插入或刪除任意資料並執行任意程式碼，且可能導致程序終止。 (5)在客戶端部屬的JAXP 、2D 或Scripting 子元件錯誤可被用來任意通過不信任的 Java Web Start 應用程式及不受信任的JAVA 程序以暴露某些資訊。

遠端攻擊者可透過這些弱點在用戶系統執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。

Oracle
Secunia
 

目前已知會受到影響的版本為 OS X Lion version 10.7.5 、 OS X Lion Server version 10.7.5 、 OS X Mountain Lion version 10.8.5及 OS X Mavericks version 10.9.2上的Safari 6.1.3 及7.0.3 之前版本 ，中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。

Apple 公布 Safari 存在多項弱點： (1)WebKit 元件存在多個錯誤會造成記憶體損毀(corrupt memory) 。(2)WebKit 元件處理CSS選擇元件(Selector elements) 時發生錯誤，可被利用導致堆積緩衝區溢位(heap-based buffer overflow)的錯誤。

惡意攻擊者可透過這些弱點在用戶系統上執行任意程式碼。中華電信SOC 建議使用者應儘速上網更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

Apple
Secunia