微软发布了针对严重缺陷的补丁，包括Office Zero Day和DNS攻击

安全更新还包括针对Microsoft Windows操作系统、Internet Explorer、Microsoft Edge、Skype、Microsoft Lync和Microsoft SharePoint Server的修补程序。

除了MS Office漏洞外，该公司还解决了另外两个公开披露的（但尚未公开针对的）影响SharePoint Server和Windows Linux子系统的漏洞。

十月补丁周二还修复了一个严重的Windows DNS漏洞，恶意DNS服务器可能会利用该漏洞在目标系统上执行任意代码。下面，您可以找到上述所有关键和重要漏洞的简要技术说明。

Microsoft Office内存损坏漏洞（CVE-2017-11826）

该漏洞被Microsoft归类为“重要”漏洞，是由内存损坏问题引起的。它影响到所有受支持的MS Office版本，并在目标攻击中被攻击者积极利用。

攻击者可以通过向受害者发送巧尽心思构建的Microsoft Office文件并说服他们打开该文件，或托管包含巧尽心思构建的文件的网站并诱骗受害者访问该文件来利用此漏洞。
一旦打开，被诱杀的Office文件中的恶意代码将以与登录用户相同的权限执行。因此，与拥有更高管理权限的用户相比，在系统上拥有最低权限的用户受到的影响更小。

总部位于中国的安全公司奇虎360 Core security的安全研究人员向微软报告了该漏洞，他们最初在9月28日检测到了一次涉及恶意RTF文件的网络攻击，并利用了该漏洞。

Microsoft Windows DNSAPI远程代码执行漏洞（CVE-2017-11779）

微软修补的其他关键漏洞包括Windows DNS客户端中的一个关键远程代码执行漏洞，该漏洞会影响运行Windows 8.1和Windows 10以及Windows Server 2012至2016的计算机。

恶意DNS响应可能会触发该漏洞，使攻击者能够在发出DNS请求的软件应用程序的上下文中，在Windows客户端或Windows Server安装上执行任意代码。

安全公司Bishop Fox的安全研究员尼克·弗里曼（Nick Freeman）发现了该漏洞，并演示了连接到公共Wi-Fi网络的攻击者如何在受害者的机器上运行恶意代码、提升权限并完全控制目标计算机或服务器。

“这意味着，如果攻击者控制您的DNS服务器（例如，通过中间人攻击或恶意咖啡店热点），他们可以访问您的系统，”研究人员解释道。“这不仅影响网络浏览器，您的计算机一直在后台进行DNS查询，任何查询都可以响应以触发此问题”。

有关完整的技术细节，您可以观看福克斯主教的丹·佩特罗的视频演示，并访问福克斯主教的博客帖子。

Windows Linux拒绝服务子系统漏洞（CVE-2017-8703）

此拒绝服务（DoS）问题是Windows Linux子系统中另一个值得注意的漏洞。

该漏洞被微软列为“重要”漏洞，此前已被公开披露，但未被发现在野外被积极利用。

该漏洞可使攻击者执行恶意应用程序以影响内存中的对象，从而最终使该应用程序使目标系统崩溃并使其无响应。

唯一受此漏洞影响的Microsoft产品是Windows 10（1703版）。“该更新通过纠正Windows Subsystem for Linux如何处理内存中的对象来解决该漏洞，”微软在其公告中说。

Microsoft Office SharePoint XSS漏洞（CVE-2017-11777）

另一个之前披露但尚未受到攻击的漏洞是Microsoft SharePoint Server中的跨站点脚本（XSS）缺陷，该缺陷影响SharePoint Enterprise Server 2013 Service Pack 1和SharePoint Enterprise Server 2016。

该漏洞也被微软归类为“重要”漏洞，可通过向受影响的SharePoint服务器发送恶意创建的请求加以利用。
成功利用此漏洞可使攻击者对受影响的系统执行跨站点脚本攻击，并在当前用户的相同安全上下文中执行恶意脚本。

“这些攻击可能使攻击者能够读取攻击者无权读取的内容，使用受害者的身份代表用户在SharePoint网站上采取行动，例如更改权限和删除内容，并在用户的浏览器中插入恶意内容，”Microsoft解释道。

除此之外，该公司还修补了Edge和Internet Explorer中脚本引擎中的总共19个漏洞，这些漏洞允许网页通过内存损坏漏洞，在登录用户的权限下实现远程代码执行。

仅仅打开一个网页就可能在易受攻击的计算机上执行恶意软件、间谍软件、勒索软件和其他恶劣软件，从而给你带来麻烦。

更多RCE和其他漏洞

Redmond还修补了Windows字体库中的两个漏洞，这两个漏洞允许网页或文档在易受攻击的计算机上执行恶意代码，并在打开带有特制嵌入式字体的文件或访问托管恶意文件的网站时劫持该文件。

此次更新还修复了Windows TRIE（CVE-2017-11769）中的一个漏洞，该漏洞允许DLL文件实现远程代码执行，Outlook中的一个编程错误（CVE-2017-11776）使其电子邮件可以通过所谓的安全连接进行窥探。

本月修补的其他问题包括Windows Shell中的两个远程代码执行缺陷和Windows Search中的一个远程代码执行缺陷。

微软还发布了一条警告，警告用户存在影响Infineon Trusted Platform Module（TPM）固件的安全功能旁路问题。

令人惊讶的是，Adobe Flash没有任何安全补丁。与此同时，Adobe已经完全跳过了10月份周二发布的补丁。

强烈建议用户尽快应用10月份的安全补丁，以防止黑客和网络犯罪分子控制他们的计算机。

要安装安全更新，只需进入设置，更新及，安全和#8594，Windows Update，检查更新，或者手动安装更新。