北京时间10月12日凌晨,微软发布10月例行安全更新,批量修复了来自Google Project Zero、趋势科技、奇虎360、腾讯、卡巴斯基等公司报告的共计40处安全漏洞。本次更新涉及Win10/Win8.1/Win7等系统和Microsoft Office、GDI(图形设备接口)等部分组件。
图:微软10月安全公告部分截图
从官方发布的漏洞详情来看,这个补丁日颇不太平,Proofpoint公司的两位研究员报告的IE浏览器信息泄漏漏洞(CVE-2016-3298)可被攻击者利用窥视磁盘上的文件进程;卡巴斯基实验室提交的图形组件远程代码执行漏洞(CVE-2016-3393)则可让攻击者借此远程控制操作系统,实现监控、更改或删除数据、获取用户权限等诸多操作。
据悉,这两个漏洞此前就已经被黑客发现并使用,也就是俗称的“野外”利用。IE 0day漏洞CVE-2016-3298更是被加入国外流行的中微子EK(Exploit kits)黑客工具包中,不法分子可以利用该漏洞实施大规模挂马甚至APT定向攻击。微软官方将该漏洞定义为高危级别,建议用户立即更新补丁。
澳洲国防部计算机应急响应中心(Austrian MilCERT)提交的Microsoft Office内存损坏漏洞(CVE-2016-7193)也在本月得到修复。据外媒称,该0day漏洞的目标是澳洲军队网络系统,黑客若成功利用该漏洞可实现任意代码执行,如果当前用户权限为管理员权限,黑客还可借机全面控制系统。
图:国内安全厂商在微软10月安全公告中获致谢
值得关注的是,中国安全厂商已经成为微软、谷歌、苹果等互联网巨头安全体系中的重要力量,此次微软的漏洞致谢公告中奇虎360、腾讯、百度等国内厂商一起上榜,他们帮助微软发现并修复了特权提升漏洞、内存损坏漏洞、信息泄露漏洞等8枚漏洞。其中,360研究团队已累计获得微软致谢121次,成为目前唯一一个帮助微软修复上百个漏洞的中国安全厂商。