近日消息，美國國土安全部(DHS)下屬的網(wǎng)絡安全部門本周四發(fā)布行政令，要求聯(lián)邦民用機構(gòu)立即對新發(fā)現(xiàn)的 Windows 漏洞 SIGRed 進行安全修復，理由是該漏洞對這些的機構(gòu)的安全構(gòu)成了“不可接受的重大風險”。

這是 DHS 下屬的網(wǎng)絡安全和基礎(chǔ)設施安全局(Cybersecurity and Infrastructure Security Agency，簡稱CISA)有史以來發(fā)布的第三道命令，要求各大機構(gòu)在 24 小時內(nèi)對用于域名系統(tǒng)的 Windows 服務器打補丁，或者部署其他的緩解方案。機構(gòu)內(nèi)并非用于 DNS，但受影響的服務器要在7月24日前打上補丁。

在指令是非常緊迫性的，CISA 強調(diào)：“基于該漏洞被利用的可能性，受影響軟件在整個聯(lián)邦企業(yè)中的廣泛使用，機構(gòu)信息系統(tǒng)被破壞的可能性很高，以及成功破壞的嚴重影響”。

Check Point的研究人員發(fā)現(xiàn)了Windows DNS的安全漏洞，并在5月份向微軟報告。如果不打補丁，就會使Windows服務器容易受到攻擊，不過微軟指出，目前還沒有發(fā)現(xiàn)這個缺陷被利用的證據(jù)。

"DNS服務器漏洞是一件非常嚴重的事情，"Check Point的漏洞研究團隊負責人Omri Herscovici警告說。"這些漏洞類型只有少數(shù)幾個發(fā)布過。每一個使用微軟基礎(chǔ)設施的組織，無論大小，如果不打補丁，都會面臨重大安全風險，最壞的后果將是整個企業(yè)網(wǎng)絡的徹底破壞。這個漏洞在微軟的代碼中已經(jīng)存在了17年以上;既然我們能夠發(fā)現(xiàn)這個漏洞，那么別人也已經(jīng)發(fā)現(xiàn)了這個漏洞也不是不可能。"

漏洞還是要趕緊修復的。