微軟修補(bǔ)了68個漏洞，兩個修補(bǔ)漏洞已經(jīng)被利用，三個已經(jīng)公開披露.灰鴿子下載,灰鴿子

admin

微軟修補(bǔ)了68個漏洞，兩個修補(bǔ)漏洞已經(jīng)被利用，三個已經(jīng)公開披露.灰鴿子下載,灰鴿子

Microsoft已修補(bǔ)Windows，Office，Edge，Internet Explorer和SQL Server中的68個漏洞，其中兩個已經(jīng)被攻擊者利用，三個已經(jīng)被公開披露。
補(bǔ)丁包含在14個安全公告中，一個專用于通過Windows Update和Windows 10中的Windows Update升級的Adobe Flash Player。六個公告被評為關(guān)鍵，八個公告被評為重要。

管理員應(yīng)該優(yōu)先處理MS16-135公告中的Windows補(bǔ)丁，因?yàn)樗鼈兘鉀Q了一個已經(jīng)被安全行業(yè)中稱為Fancy Bear，APT28或Strontium的攻擊者利用的零日漏洞。
該漏洞（跟蹤為CVE-2016-7255）由Google上周公開披露，僅在通知Microsoft之后的10天內(nèi)公布。這造成了兩家公司之間的一點(diǎn)摩擦。

Google只向供應(yīng)商提供七天的時間來修復(fù)漏洞或發(fā)布緩解建議，如果這些缺陷被發(fā)現(xiàn)在主動攻擊中被利用。 Microsoft不同意該政策，并認(rèn)為Google決定提供有關(guān)此漏洞公開的詳細(xì)信息會增加客戶的風(fēng)險。

應(yīng)優(yōu)先處理的另一個Windows安全公告是MS16-132。它的評級是關(guān)鍵的，并修復(fù)了多個遠(yuǎn)程代碼執(zhí)行漏洞，包括另一個零日缺陷，根據(jù)微軟，已經(jīng)被攻擊者利用。

該漏洞位于Windows字體庫中，可以通過嵌入到網(wǎng)站或文檔中的特制字體進(jìn)行利用。微軟在安全公告中說，成功的攻擊使攻擊者能夠完全控制受影響的系統(tǒng)。

Internet Explorer和Edge中的其他三個關(guān)鍵漏洞（包括在MS16-142和MS16-129公告中）在修補(bǔ)之前已經(jīng)公開披露。然而，根據(jù)微軟他們還沒有被利用在攻擊中。

Office安全公告MS16-133被評為重要，但涵蓋可通過特制文檔利用的遠(yuǎn)程代碼執(zhí)行漏洞。

“由于Office文檔在典型的企業(yè)環(huán)境中很普遍，我認(rèn)為這個公告應(yīng)該被視為重要的，即使它被評為'重要'，”安全供應(yīng)商Qualys的脆弱性實(shí)驗(yàn)室主任Amol Sarwate說， 。

Microsoft SQL Server管理員應(yīng)優(yōu)先處理涵蓋RDBMS引擎，MDS API，SQL分析服務(wù)和SQL Server代理中的漏洞的MS16-136公告。