雷鋒網(wǎng)按，在最近一次二月份的微軟周二補(bǔ)丁日中，軟件巨頭一共解決了 50 個會影響 Windows 系統(tǒng)、Office套件、瀏覽器和公司旗下其他產(chǎn)品的漏洞。其中，有 14 個被打上了“關(guān)鍵”標(biāo)簽，34 個被評為“重要”，只有 2 個的嚴(yán)重程度較為溫和。

在 14 個關(guān)鍵漏洞中，有 Edge 瀏覽器的信息披露問題，也有 Windows StructuredQuery 部件的遠(yuǎn)程代碼執(zhí)行漏洞。此外，Outlook、Edge 和 IE 瀏覽器都存在內(nèi)存崩潰問題。

要說這次周二補(bǔ)丁日解決的最嚴(yán)重漏洞，非影響 Outlook 的內(nèi)存崩潰問題（代號 CVE-2018-0852）莫屬。如果不對該漏洞進(jìn)行修復(fù)，黑客就有可能通過它在目標(biāo)機(jī)器上執(zhí)行遠(yuǎn)程代碼。

“當(dāng)軟件無法有效處理內(nèi)存中的對象時，微軟 Outlook 中會出現(xiàn)一個遠(yuǎn)程代碼執(zhí)行漏洞。只要黑客能成功利用這一漏洞，就能任意在受攻擊電腦上執(zhí)行代碼?！蔽④浽诎踩嫔蠈懙馈！叭绻F(xiàn)有用戶使用管理員權(quán)限登陸，黑客更是能控制整個受攻擊的系統(tǒng)，隨意在電腦上安裝程序，瀏覽、更改或刪除數(shù)據(jù)，甚至創(chuàng)建擁有所有用戶權(quán)限的新賬戶。系統(tǒng)中設(shè)置的用戶權(quán)限越少，受影響就越小?！?/p>

想要觸發(fā)該漏洞，黑客可以誘騙受害者打開一個專門制作的消息附件或在 Outlook 預(yù)覽界面進(jìn)行瀏覽。是的你沒看錯，在 Outlook 里看看郵件你可能就會中招。

“要利用該漏洞，黑客需要讓用戶通過被感染的 Outlook 軟件打開一個特殊的文檔。如果是通過 email 進(jìn)行攻擊，攻擊者可能會給用戶發(fā)送一個特制文檔并說服他們打開該文檔。如果要發(fā)動基于網(wǎng)絡(luò)的攻擊，黑客則會專門開個網(wǎng)站（或者利用被攻破的網(wǎng)站），該網(wǎng)站上則埋了特別設(shè)計的‘地雷’，用戶一點(diǎn)就中招。不過，黑客無法強(qiáng)迫用戶查看受控內(nèi)容，他們只能說服用戶點(diǎn)擊?！蔽④浗忉尩?。

另一個會影響 Outlook 的漏洞是代號為 CVE-2018-0850 的權(quán)限升級問題。該漏洞被微軟定為“重要”級別，黑客也可通過發(fā)送特制郵件來攻擊 Outlook 用戶。這個漏洞對黑客來說更是相當(dāng)順手，因?yàn)橛脩糁灰盏洁]件它就會觸發(fā)。

“成功利用該漏洞的攻擊者能強(qiáng)迫 Outlook 加載本地或遠(yuǎn)程信息存儲器（通過服務(wù)器信息塊）。”微軟在安全公告上警告道。

“想要利用漏洞，攻擊者只需發(fā)送一封特制郵件。隨后 Outlook 會試圖打開 email 中一個預(yù)先配置的信息存儲器?！?/p>

微軟修復(fù)的另一個關(guān)鍵漏洞是影響 Edge 瀏覽器的信息披露漏洞（CVE-2018-0763）。該漏洞的產(chǎn)生是因?yàn)槲④?Edge 瀏覽器沒能正確的處理內(nèi)存中的對象。

攻擊者可以通過觸發(fā)該漏洞獲得敏感信息，以攻入目標(biāo)機(jī)器。不過，在這里攻擊者需要用戶的交互。

“若 Edge 瀏覽器沒能正確處理內(nèi)存中的對象，信息披露漏洞就會出現(xiàn)。利用了該漏洞的攻擊者能獲得相關(guān)敏感信息，以便進(jìn)一步滲透用戶的系統(tǒng)?！蔽④浽诠嬷袑懙馈?/p>

雷鋒網(wǎng)了解到，下一個漏洞早已盡人皆知，其代號為 CVE-2018-0771，可影響微軟 Edge 瀏覽器。

“當(dāng) Edge 錯誤的處理了不同來歷的請求，一個安全特性就會繞過現(xiàn)有漏洞。該漏洞讓 Edge 能繞過同源政策（SOP）的限制，允許那些本該被無視的請求。利用了該漏洞的攻擊者能迫使瀏覽器發(fā)送受限數(shù)據(jù)?！蔽④浗忉尩?。

總之，看到這篇文章的用戶們，還是趕緊打上安全補(bǔ)丁吧。

雷鋒網(wǎng)Via. Security Affairs

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。