微软10月补丁周二修复了12个关键漏洞

微软刚刚发布了2018年10月的最新月度补丁，修复了其产品中总共49个安全漏洞。

本月的安全更新解决了Microsoft Windows、Edge浏览器、Internet Explorer、MS Office、MS Office服务和Web应用、ChakraCore、SQL Server Management Studio和Exchange Server中的安全漏洞。

在本月修补的49个缺陷中，12个被评定为严重缺陷，35个被评定为重要缺陷，一个中等缺陷，一个严重程度较低。

这家科技巨头修补的这些漏洞中，有三个在发布时被列为“众所周知”，有一个漏洞据报道正在野外被积极利用。

Windows Update修补了主动攻击下的一个重要漏洞

根据Microsoft advisory，一个未公开的攻击者小组正在积极利用Microsoft Windows操作系统中的一个重要特权提升漏洞（CVE-2018-8453），以完全控制目标系统。

当Win32K（内核模式驱动程序）组件无法正确处理内存中的对象时，就会出现此漏洞，攻击者可以使用特制的应用程序在内核模式下执行任意代码。

本月的更新还修补了Microsoft Windows中的一个关键远程代码执行漏洞，并影响所有受支持的Windows版本，包括Windows 10、8.1、7和服务器2019、2016、2012和2008。

该漏洞（CVE-2018-8494）存在于Microsoft XML核心服务（MSXML）的解析器组件中，可通过用户输入传递恶意XML内容来利用该漏洞。

攻击者可以在目标计算机上远程执行恶意代码，并完全控制系统，只需说服用户查看精心设计的网站，该网站旨在通过web浏览器调用MSXML。

微软修补了三个公开披露的漏洞

上月末，一名安全研究人员披露了三个公开披露的漏洞中的一个漏洞的详细信息，此前该公司未能在120天的截止日期内修补该漏洞。
该漏洞被标记为重要漏洞，并已分配给CVE-2018-8423。该漏洞位于Microsoft Jet数据库引擎中，攻击者可利用该漏洞在任何有漏洞的Windows计算机上远程执行恶意代码。

有关概念验证攻击代码和有关此漏洞的更多详细信息，请阅读我们的文章。

其余两个公开披露的漏洞也被标记为重要漏洞，分别位于Windows内核（CVE-2018-8497）和Azure IoT Hub设备客户端SDK（CVE-2018-8531）中，这两个漏洞分别导致权限提升和远程代码执行。

安全更新还包括9个关键内存损坏漏洞的补丁；2个在Internet Explorer中，2个在Microsoft Edge中，4个在Chakra脚本引擎中，1个在脚本引擎—中；所有这些都会导致在目标系统上远程执行代码。

除此之外，微软还发布了一个针对微软Office的更新，该更新提供了增强的安全性，作为一种纵深防御措施。

强烈建议用户和系统管理员尽快应用这些安全补丁，以防止黑客和网络犯罪分子控制他们的系统。

要安装安全补丁更新，请直接转到设置→更新及安全和Windows Update→检查更新，或者手动安装更新。