|
微软修补了68个漏洞,两个修补漏洞已经被利用,三个已经公开披露.灰鸽子下载,灰鸽子
Microsoft已修补Windows,Office,Edge,Internet Explorer和SQL Server中的68个漏洞,其中两个已经被攻击者利用,三个已经被公开披露。
补丁包含在14个安全公告中,一个专用于通过Windows Update和Windows 10中的Windows Update升级的Adobe Flash Player。六个公告被评为关键,八个公告被评为重要。
管理员应该优先处理MS16-135公告中的Windows补丁,因为它们解决了一个已经被安全行业中称为Fancy Bear,APT28或Strontium的攻击者利用的零日漏洞。
该漏洞(跟踪为CVE-2016-7255)由Google上周公开披露,仅在通知Microsoft之后的10天内公布。这造成了两家公司之间的一点摩擦。
Google只向供应商提供七天的时间来修复漏洞或发布缓解建议,如果这些缺陷被发现在主动攻击中被利用。 Microsoft不同意该政策,并认为Google决定提供有关此漏洞公开的详细信息会增加客户的风险。
应优先处理的另一个Windows安全公告是MS16-132。它的评级是关键的,并修复了多个远程代码执行漏洞,包括另一个零日缺陷,根据微软,已经被攻击者利用。
该漏洞位于Windows字体库中,可以通过嵌入到网站或文档中的特制字体进行利用。微软在安全公告中说,成功的攻击使攻击者能够完全控制受影响的系统。
Internet Explorer和Edge中的其他三个关键漏洞(包括在MS16-142和MS16-129公告中)在修补之前已经公开披露。然而,根据微软他们还没有被利用在攻击中。
Office安全公告MS16-133被评为重要,但涵盖可通过特制文档利用的远程代码执行漏洞。
“由于Office文档在典型的企业环境中很普遍,我认为这个公告应该被视为重要的,即使它被评为'重要',”安全供应商Qualys的脆弱性实验室主任Amol Sarwate说, 。
Microsoft SQL Server管理员应优先处理涵盖RDBMS引擎,MDS API,SQL分析服务和SQL Server代理中的漏洞的MS16-136公告。
|
|