微软发布9个安全更新来修补34个漏洞

安全公告MS16-102修补了一个漏洞（CVE-2016-3319），该漏洞允许攻击者通过让您在web浏览器中查看精心编制的PDF内容来控制您的计算机。

Windows 10系统上的Microsoft Edge用户面临通过恶意PDF文件进行远程代码执行（RCE）攻击的重大风险。

带有PDF的网页可能会入侵你的Windows电脑

由于当浏览器设置为默认浏览器时，Edge会自动呈现PDF内容，因此此漏洞只会影响将Microsoft Edge设置为默认浏览器的Windows 10用户，因为只需在线查看PDF即可执行此漏洞。

微软在其公告中表示，所有其他受影响操作系统的网络浏览器不会自动呈现PDF内容，因此攻击者必须说服用户打开精心编制的PDF文件，通常是通过电子邮件或即时消息。

一旦被攻击，该漏洞就会破坏内存，允许黑客以与用户相同的权限运行恶意代码。黑客所需要的只是将受害者引诱到包含恶意PDF的网站，或者将受感染的PDF文件添加到接受用户提供内容的网站。

虽然这个漏洞没有公开，也没有看到任何攻击，它预计是一个有吸引力的攻击向量黑客。

其他严重的错误可能会完全控制你的电脑

MS16-096中列出的Edge的单独关键更新修补了五个远程代码执行（RCE）缺陷和三个信息泄露缺陷。

该公司还发布了针对Internet Explorer（IE）的每月累积安全更新MS16-095，修补了9个漏洞，恶意网页可以利用这些漏洞通过内存损坏漏洞来远程执行代码，或泄露系统信息。

另一个关键更新包括Microsoft Office修补程序MS16-099，它解决了Office中的四个内存损坏漏洞，这些漏洞可被诱杀文档远程利用，在受害者的系统上执行恶意代码，从而完全控制受害者的机器。
该更新还包括一个修补程序，用于修补Microsoft OneNote中的一个信息泄露漏洞，该漏洞会泄露内存内容和可能用于危害计算机的信息。

除了Windows版本的Office回归到Office 2007之外，微软还发布了适用于Mac 2011和2016的Office补丁。

最后一份关键公告MS16-097修补了Windows、Office、Skype for Business和Lync中Microsoft图形组件字体处理库中的三个远程代码执行缺陷，恶意网页或Office文档可利用这些缺陷进行攻击。

这家科技巨头还第二次发布了安全引导的安全更新。该更新被评为重要，MS16-100，它修补了安全引导加载易受攻击（安装隐藏的引导工具包或rootkit）引导管理器时出现的安全功能绕过漏洞。

此设计缺陷已在所有受支持的Windows和Windows Server版本中修复。

其他重要公告涉及导致Windows和Windows Server遭受中间人攻击的漏洞、适用于Windows 10的Universal Outlook组件中的一个信息泄露漏洞，以及Windows Vista内核模式驱动程序通过Windows 10和Windows Server 2008和2012的四个权限提升漏洞。

该公司还发布了累积更新(KB3176493、KB3176495、KB3176492)对于Windows 10用户，因此那些已将系统升级到Microsoft新操作系统的用户应尽快安装更新。

建议用户尽快修补其系统和软件。