圖片來源: 

Microsoft

微軟在周二(11/8)的每月例行性更新釋出了14項安全公告,其中有6項屬於可遠端執行程式的重大(Critical)等級,另也修補了由Google所揭露的零時差安全漏洞。

此次的安全更新涉及多項微軟產品,涵蓋IE、Microsoft Edge、Microsoft Office、Microsoft Office Services、Web Apps與SQL Server,同時修補有關Adobe Flash Player的安全漏洞。

6項重大等級的安全公告分別是MS16-129、MS16-130、MS16-131、MS16-132、MS16-141與MS16-142,其中的MS16-129屬於Microsoft Edge的累積安全更新,當中最嚴重的漏洞在駭客誘導使用者造訪惡意網頁時,可取得使用者權限並於遠端執行程式。

MS16-130修補Windows漏洞,MS16-131修補Microsoft Video Control無法妥善處理記憶體中物件的安全漏洞;MS16-132修補的是Microsoft Graphics Component的漏洞,其中一個漏洞允許駭客安裝程式、瀏覽或變更資料,還能建立新的使用者帳號。

MS16-141則是修補安裝在多個Windows版本上的Adobe Flash Player漏洞,MS16-142修補了IE漏洞。

至於因已被開採而遭Google事先曝光的零時差漏洞則出現在MS16-135安全公告中,Google所揭露的是Windows kernel的本地端權限擴張漏洞,允許駭客繞過沙箱保護進而掌控系統。微軟將MS16-135列為重要(Important )等級。

微軟亦於本月推出了全新的「安全更新指南」(Security Updates Guide)網站,以作為微軟產品安全漏洞資訊的入口網站,它是一個完整的漏洞資料庫,可依據產品、漏洞編號或釋出日期來檢視漏洞資訊,協助IT管理人員過濾不必要的資訊,並供應新的RESTful API以方便取得微軟的安全更新資訊。微軟現有的安全公告格式將與Security Updates Guide並存至明年1月,之後微軟就只會在Security Updates Guide上發表更新資訊。


Advertisement

更多 iThome相關內容