781      微軟

微軟發布年度最重要安全更新

昨日，微軟發布了最新的安全補丁，共解決了軟件中的48個安全漏洞，包括影響所有版本Windows的15種不同的安全漏洞，從Windows 7開始，以Windows 10結束。然而，微軟表示，目前還不知道黑客攻擊會利用其中哪一個漏洞，但建議用戶盡快修補漏洞。

微軟認為不少於25個安全漏洞至關重要，另外27個可以允許遠程執行代碼攻擊（RCE），這意味著如果網絡犯罪分子成功地利用這樣的安全漏洞，可以控製一個未打補丁的係統。微軟再次解決了SMB漏洞，這次在Windows Search中，值得一提的是，它與今年早些時候發布的WannaCry和Petya ransomware攻擊無關，並以SMB為主攻擊向量。

微軟在CVE-2017-8620文檔中解釋說，所有Windows版本都受到此安全漏洞的影響，並補充說，當Windows Search處理內存中的對象時，可以通過SMB連接觸發此漏洞。攻擊者可以安裝程序，訪問和編輯數據，或創建具有完全用戶權限的新帳戶。為了利用此漏洞，攻擊者可以向Windows Search服務發送特製消息。

微軟解釋稱，訪問目標計算機的攻擊者可以利用此漏洞提升權限並控製計算機。此外，在企業場景中，遠程未經身份驗證的攻擊者可以通過SMB連接遠程觸發漏洞，然後控製目標計算機。Microsoft Edge和Internet Explorer瀏覽器也獲得了自己的補丁，Windows 10用戶應特別注意CVE-2017-0293，其中詳細介紹了Windows PDF RCE的缺陷。

軟件巨頭表示，缺陷存在於Windows PDF庫處理內存中的對象的方式，成功的攻擊授予網絡犯罪分子與登錄用戶相同的權限。漏洞必須包含可在Microsoft Edge或Internet Explorer中加載的網站上發布的惡意PDF內容。

最後更新：2017-08-25 09:49:13

  上一篇： 微軟從良，蘋果7s曝光，印度無邊框手機僅售千元

  下一篇： 微軟發布第五代小冰，它都有什麼亮點？