微軟Patch Tuesday修補53個漏洞，瀏覽器就有超過20個

微軟於本周二（7/10）的每月例行性安全更新中修補了旗下15個產品的53個安全漏洞，其中有18個屬於重大（Critical）漏洞，並有超過20個瀏覽器漏洞，本月微軟並未修補任何的零時差漏洞。

在53個安全漏洞中有超過20個與IE或Microsoft Edge等瀏覽器有關，而且絕大多數為重大漏洞。Qualys產品管理總監Jimmy Graham認為，工作站類型的裝置應該優先修補這些瀏覽器漏洞，因為這類裝置的使用者通常利用瀏覽器來存取公開網路或郵件服務。

在這些瀏覽器漏洞中，有6個與Microsoft Edge的Chakra腳本引擎有關，有5個被列為重大漏洞，皆可導致遠端程式攻擊，它們分別是CVE-2018-8280、CVE-2018-8286、CVE-2018-8290、CVE-2018-8294與CVE-2018-8298。

至於存在於Microsoft Edge的CVE-2018-8278則是屬於欺騙漏洞，來自Edge未能適當處理特定HTML內容，允許駭客設計一個看起來像是合法的冒牌網站，而且是個很容易開採的漏洞。

另一個被資安業者點名的是CVE-2018-8310，該漏洞是因Microsoft Outlook在呈現HTML郵件時未能妥善處理特定的附加檔案所造成的，成功開採該漏洞得以於郵件中夾帶不可靠的TrueType字型，輔以其它攻擊即能危害使用者系統。儘管該漏洞的嚴重等級不高，但相關漏洞過去多半被應用在惡意程式攻擊，得以用來散布惡意程式，甚至能躲過傳統的安全過濾機制。

微軟在本月也修補了存在於Windows網域名稱系統DNSAPI的阻斷服務漏洞，編號為 CVE-2018-8304漏洞源自於DNSAPI.dll未能正確處理DNS回應，駭客只要透過一個惡意的DNS伺服器傳送損壞的DNS回應予目標對象，就能造成系統停止回應。

相較於微軟於上個月修補的CVE-2018-8225，CVE-2018-8304並無法造成權限擴張或遠端程式攻擊，因此僅被列為重要（Important）漏洞。