注意啦! 微軟一舉修補超過60個安全漏洞 超過1/3為重大漏洞

微軟於本周二（4/10）的Patch Tuesday修補了超過60個安全漏洞，其中有24個被列為重大（Critical）漏洞，可能惹來遠程程序攻擊，其中，CVE-2018-103雖然隻被列為重要（Important）漏洞，卻是此次所修補的漏洞中，唯一已被公開的，此次微軟也罕見地修補了硬件漏洞—存在於微軟無線鍵盤850中的CVE-2018- 8117漏洞。

微軟的4月修補主要涉及Internet Explorer、Microsoft Edge、Microsoft Office、Microsoft Visual Studio、Microsoft Hyper-V、Microsoft EOT Font Engine、Microsoft Windows與ChakraCore等微軟產品。

在眾多漏洞中CVE-2018-1034漏洞為一存在於Microsoft SharePoint Server中的權限擴張漏洞，該漏洞源自於SharePoint Server無法妥善處理特定的網絡請求。成功開采該漏洞的黑客將能執行跨站腳本程序攻擊，並讀取原本未被授權的內容，也能使用受害者的身份於SharePoint網站上活動，諸如更改權限或刪除內容等。

雖然CVE-2018-1034漏洞在微軟修補前就被公開，不過它隻影響SharePoint Enterprise Server 2016，也尚未遭到攻擊。

至於CVE-2018-8117則為微軟Wireless Keyboard 850無線鍵盤中的安全繞過漏洞，根據微軟的說明，相關漏洞將允許黑客重新利用一個AES加密密鑰來將按鈕敲擊動作發送到其它鍵盤，或是讀取其它鍵盤傳回至被黑鍵盤的按鈕動作。要執行相關攻擊以前，黑客必須位於鍵盤的無線網絡範圍內並取得AES加密密鑰，為了解決該問題，微軟強製要求每個無線鍵盤所產生的AES加密密鑰都是獨一無二的。

除了本周二的定期修補之外，安全專家也呼籲用戶別忘了修補微軟於今年3月底緊急修補>的CVE-2018-1038漏洞。