微軟修補由Google揭露的安全漏洞

william77

周二的例行更新共釋出了14項安全公告，涵蓋IE、Microsoft Edge、Microsoft Office等產品，當中修補6項遠端執行程式的重大安全漏洞，以及日前由Google所揭露的漏洞。

微軟在周二（11/8）的每月例行性更新釋出了14項安全公告，其中有6項屬於可遠端執行程式的重大（Critical）等級，另也修補了由Google所揭露的零時差安全漏洞。
此次的安全更新涉及多項微軟產品，涵蓋IE、Microsoft Edge、Microsoft Office、Microsoft Office Services、Web Apps與SQL Server，同時修補有關Adobe Flash Player的安全漏洞。
6項重大等級的安全公告分別是MS16-129、MS16-130、MS16-131、MS16-132、MS16-141與MS16-142，其中的MS16-129屬於Microsoft Edge的累積安全更新，當中最嚴重的漏洞在駭客誘導使用者造訪惡意網頁時，可取得使用者權限並於遠端執行程式。
MS16-130修補Windows漏洞，MS16-131修補Microsoft Video Control無法妥善處理記憶體中物件的安全漏洞；MS16-132修補的是Microsoft Graphics Component的漏洞，其中一個漏洞允許駭客安裝程式、瀏覽或變更資料，還能建立新的使用者帳號。
MS16-141則是修補安裝在多個Windows版本上的Adobe Flash Player漏洞，MS16-142修補了IE漏洞。
至於因已被開採而遭Google事先曝光的零時差漏洞則出現在MS16-135安全公告中，Google所揭露的是Windows kernel的本地端權限擴張漏洞，允許駭客繞過沙箱保護進而掌控系統。微軟將MS16-135列為重要（Important ）等級。
微軟亦於本月推出了全新的「安全更新指南」（Security Updates Guide）網站，以作為微軟產品安全漏洞資訊的入口網站，它是一個完整的漏洞資料庫，可依據產品、漏洞編號或釋出日期來檢視漏洞資訊，協助IT管理人員過濾不必要的資訊，並供應新的RESTful API以方便取得微軟的安全更新資訊。微軟現有的安全公告格式將與Security Updates Guide並存至明年1月，之後微軟就只會在Security Updates Guide上發表更新資訊。