微軟修補DNS客戶端及已被開採的Word漏洞

微軟於本周二（10/10）的Patch Tuesday修補了62個安全漏洞，包含一個已被駭客攻陷的Word漏洞，以及多個Windows DNS客戶端漏洞，皆可允許駭客執行程式攻擊。

藏匿在Word中的CVE-2017-11826漏洞為一記憶體毀損漏洞，駭客只要藉由電子郵件、惡意網站或連結，以誘導使用者開啟一個特製的檔案，就可開採該漏洞，成功開採的駭客將可取得使用者權限並執行任意程式，若使用者以管理員權限登入，那麼駭客即可取得電腦的控制權。

CVE-2017-11826雖然只屬於重要（Important）等級，但因已被攻陷，因而被多名資安專家列為應優先修補的安全漏洞。

至於Windows DNS客戶端漏洞CVE-2017-11779則允許駭客執行中間人攻擊，以惡意資料回應任何的DNS請求，有機會取得系統權限。發現該漏洞的是IT安全顧問公司Bishop Fox的研究人員Nick Freeman。

Freeman說明，不論使用者是要瀏覽網路、串流音樂或執行許多日常任務時，電腦都會持續執行DNS請求，若駭客成功介入電腦與DNS伺服器之間，就能以惡意資料回應任何DSN請求，並觸發該漏洞，在大多數的時候，相關攻擊唯一的需求是讓駭客與攻擊目標處於同一網路環境。

CVE-2017-11779影響Windows 8至Windows 10，以及Windows Server 2012至Windows Server 2016，估計有數百萬名用戶受到波及。