微軟修補61個安全漏洞，包含已有攻擊程式現身的零時差漏洞

微軟於本周二（9/11）的每月例行性修補中，修補了61個安全漏洞，當中有17個屬於重大（Critical）漏洞，以及一個概念性驗證攻擊程式已經出爐的零時差漏洞CVE-2018-8440。

CVE-2018-8440是個權限擴張漏洞，當Windows不正確地處理「本地過程調用」（Advanced Local Procedure Call ，CLPC）的呼叫時就會現身，駭客必須要登入系統才能開採該漏洞，再執行特製程式以取得系統最高權限，因攻擊程式已現身，各大資安業者皆呼籲Windows用戶應該優先修補此一漏洞。

另有3個已被揭露的安全漏洞，分別是當Windows處理特製圖片檔案可導致遠端程式攻擊的CVE-2018-8475、藏匿在System.IO.Pipelines中並可帶來服務阻斷的CVE-2018-8409，以及影響IE與Microsoft Edge的遠端程式攻擊漏洞CVE-2018-8457。不過這3個漏洞都尚傳出攻擊行動。

當中的CVE-2018-8475被許多資安業者列為最應優先修補的漏洞之一，因為駭客只要說服使用者檢視一個惡意的圖片，不管是藉由訊息、文件或網頁，都能允許駭客自遠端執行任意程式。由於它非常容易開採，而且危及所有的Windows版本，預期相關的攻擊程式應該很快就會出爐。

Zero Day Initiative也把CVE-2018-0965與CVE-2018-8439列為優先修補對象，它們雖然是兩個不同的漏洞，卻有著同樣的攻擊場景，成功的開採將允許虛擬機用戶於主機上執行程式。