微软发布的这些补丁你都打了么？

这是07v8的第1篇安全咨询，希望对你有用

微软发布16个关键漏洞的修补程序

如果您认为CPU只是更新解决了今年的主要安全漏洞Meltdown和Spectre，那么这里有一些主要的安全漏洞您需要注意。

星期二微软已经发布了2018年的第一个补丁，以解决56个CVE漏洞，其中包括MS Office相关的0 day漏洞，已被多个威胁组织广泛利用。

其中16项安全更新被列为关键，38项评级为重要，1项评级为中等，1项评级为低。

这些更新解决了Windows，Office，Internet Explorer，Edge，ChakraCore，ASP.NET和.NET Framework中的安全漏洞。

由微软发现的Office中内存损坏的0 day漏洞（CVE-2018-0802）在过去几个月已经被几个威胁行为组织所利用。

几位来自中国的腾讯和奇虎360以及ACROS安全公司的0Patch团队和Check Point软件技术公司的研究人员发现这个漏洞可以被利用来诱使远程代码执行，通过欺骗目标用户在MS Office或Word Pad中打开特制的恶意Word文件。

微软声称在11月份提出的公式编辑器功能（EQNEDT32.EXE）中一个17年之久的漏洞与CVE-2017-11882有关.

当0Patch的研究人员分析CVE-2017-11882时，他们发现了一个新的相关漏洞（CVE-2018-0802）。有关CVE-2018-0802的更多详细信息可以在Check Point发布的博客文章中找到。

除了CVE-2018-0802之外，微软还在MS Office中解决了九个远程代码执行和内存泄露漏洞。

Microsoft Outlook for MAC中的欺骗漏洞（CVE-2018-0819）也被微软所披露（Mailsploit攻击）。此漏洞不允许某些版本的Outlook for Mac正确处理邮件地址的编码和显示，导致防病毒或反垃圾邮件扫描无法正常工作。

Microsoft还解决了.NET Framework（和.NET Core）中的证书验证绕过漏洞（CVE-2018-0786），可能允许恶意软件作者将其无效证书显示为有效。

微软表示：“攻击者可以提供一个标记为无效的证书，但是该组件使用该证书。此操作不考虑增强型密钥用法。”

微软还在Microsoft Edge和Internet Explorer使用的脚本引擎中修补了15个漏洞。

所有这些漏洞都可以通过欺骗目标用户打开一个特制的网页来触发内存损坏错误。

尽管这些漏洞都还没有被利用，但这些漏洞都可以被用来进行远程代码执行。

与此同时，Adobe本月已经修补了一个越权读取漏洞（CVE-2018-4871），尽管没有发现其他的有效漏洞，但该漏洞可能会引起信息泄露。

强烈建议用户尽快申请十月安全补丁，以防止黑客和网络犯罪分子控制您的电脑。

要安装安全更新，只需转到设置更新和安全Windows更新检查更新，或者您可以手动安装更新。