速速打補丁！微軟修補50個漏洞 14個要命

在最近一次二月份的微軟周二補丁日中，軟件巨頭一共解決了50個會影響Windows係統、Office套件、瀏覽器和公司旗下其他產品的漏洞。其中，有14個被打上了“關鍵”標簽，34個被評為“重要”，隻有2個的嚴重程度較為溫和。

在14個關鍵漏洞中，有Edge瀏覽器的信息披露問題，也有Windows Structured Query部件的遠程代碼執行漏洞。此外，Outlook、Edge和IE瀏覽器都存在內存崩潰問題。

要說這次周二補丁日解決的最嚴重漏洞，非影響Outlook的內存崩潰問題（代號CVE-2018-0852）莫屬。如果不對該漏洞進行修複，黑客就有可能通過它在目標機器上執行遠程代碼。

“當軟件無法有效處理內存中的對象時，微軟Outlook中會出現一個遠程代碼執行漏洞。隻要黑客能成功利用這一漏洞，就能任意在受攻擊電腦上執行代碼。”微軟在安全公告上寫道，“如果現有用戶使用管理員權限登陸，黑客更是能控製整個受攻擊的係統，隨意在電腦上安裝程序，瀏覽、更改或刪除數據，甚至創建擁有所有用戶權限的新賬戶。係統中設置的用戶權限越少，受影響就越小。”

想要觸發該漏洞，黑客可以誘騙受害者打開一個專門製作的消息附件或在Outlook預覽界麵進行瀏覽。是的你沒看錯，在Outlook裏看看郵件你可能就會中招。

“要利用該漏洞，黑客需要讓用戶通過被感染的Outlook軟件打開一個特殊的文檔。如果是通過email進行攻擊，攻擊者可能會給用戶發送一個特製文檔並說服他們打開該文檔。如果要發動基於網絡的攻擊，黑客則會專門開個網站（或者利用被攻破的網站），該網站上則埋了特別設計的‘地雷’，用戶一點就中招。不過，黑客無法強迫用戶查看受控內容，他們隻能說服用戶點擊。”微軟解釋道。

另一個會影響Outlook的漏洞是代號為CVE-2018-0850的權限升級問題。該漏洞被微軟定為“重要”級別，黑客也可通過發送特製郵件來攻擊Outlook用戶。這個漏洞對黑客來說更是相當順手，因為用戶隻要收到郵件它就會觸發。

“成功利用該漏洞的攻擊者能強迫Outlook加載本地或遠程信息存儲器（通過服務器信息塊）。”微軟在安全公告上警告道。

“想要利用漏洞，攻擊者隻需發送一封特製郵件。隨後Outlook會試圖打開email中一個預先配置的信息存儲器。”

微軟修複的另一個關鍵漏洞是影響Edge瀏覽器的信息披露漏洞（CVE-2018-0763）。該漏洞的產生是因為微軟Edge瀏覽器沒能正確的處理內存中的對象。

攻擊者可以通過觸發該漏洞獲得敏感信息，以攻入目標機器。不過，在這裏攻擊者需要用戶的交互。

“若Edge瀏覽器沒能正確處理內存中的對象，信息披露漏洞就會出現。利用了該漏洞的攻擊者能獲得相關敏感信息，以便進一步滲透用戶的係統。”微軟在公告中寫道。

下一個漏洞早已盡人皆知，其代號為CVE-2018-0771，可影響微軟Edge瀏覽器。

“當Edge錯誤的處理了不同來曆的請求，一個安全特性就會繞過現有漏洞。該漏洞讓Edge能繞過同源政策（SOP）的限製，允許那些本該被無視的請求。利用了該漏洞的攻擊者能迫使瀏覽器發送受限數據。”微軟解釋道。

總之，看到這篇文章的用戶們，還是趕緊打上安全補丁吧。