微軟更新檔日：18個Windows安全公告，關鍵漏洞占一半

微軟3月份釋出的Windows安全公告版本比平常内容多是因為其涵蓋了兩個月的漏洞修複，不過安全專家們業已完成其中一個已知的零日漏洞的更新檔處理，且至少有五個漏洞已得到修補并公開于衆。

MS17-006、MS17-007和MS17-023是三個正常關鍵Windows漏洞，分别用于Internet Explorer（IE）、Microsoft Edge和Adobe Flash。本月的九個關鍵Windows安全公告涵蓋這三個，這些漏洞可被遠端代碼執行（RCE）攻擊者利用，應該立即對其進行修補。

Qualys漏洞實驗室主任Amol Sarwate表示，公告中解決了三個已被公開披露的漏洞，其中一個（CVE-2017-0037）是上個月由Google Project Zero進行公開披露的。

Sarwate表示本月最高優先級的公告是MS17-013，也是針對一個由Google Project Zero公開的漏洞，是在微軟的圖形裝置接口庫發現了問題。波蘭的一個項目安全研究員Mateusz Jurczyk稱，他在2016年11月向微軟披露了該問題，并表示以前的更新檔無法完全糾正這些問題。

Sarwate表示，該更新檔應是最高優先級，因為當使用者通路特定網站或打開特定文檔時，它将允許遠端代碼執行。Sarwate在一篇博文中寫道：“CVE-2017-0005是一個零日漏洞問題，目前正被濫用，使用Silverlight作為攻擊向量的漏洞利用工具包可以很快将該漏洞引入。”

Sarwate還極為重視MS17-012。MS17-012是一個關鍵的Windows安全公告，它解決了多個漏洞，包括在2月被公開披露的另一個漏洞。研究人員釋出了一個因微軟更新檔的延遲而未得到解決的驗證概念代碼的拒絕服務問題。微軟表示，當時這個漏洞的風險相對較低，不過現在其重要程度上升了。MS17-012中的關鍵問題涉及iSNS伺服器中的記憶體損壞故障。

MS17-010對Windows Server消息塊協定造成了影響。該公告懷疑其中一個漏洞是Shadow Brokers轉儲NSA黑客工具的一部分，并提出US-CERT的一個建議：要求企業禁用Windows SMB v1。

Tripwire的安全研究員Craig Young表示，雖然其評級并非“至關重要”，MS17-016仍值得特别注意。MS17-016是影響Microsoft IIS Web伺服器的Windows安全公告。

“這是一個跨站腳本問題，将對網站運作在IIS上造成影響。反射的XSS攻擊可能并不會被正常反病毒-XSS過濾器過濾掉，”Young表示。 “當受害者點選攻擊者制作的連結時，攻擊者可以利用這個漏洞破壞對HTTPS的保護。由于IIS在網上的盛行以及Web伺服器經常被忽視，該問題變得更為複雜。

MS17-008、MS17-009和MS17-011分别解決了Windows Hyper-V、Windows PDF庫和Microsoft Uniscribe中的漏洞。每個公告均涵蓋RCE漏洞，企業應盡快修補。

MS17-014和MS17-015負責解決Microsoft Office和Exchange Server中的RCE漏洞；MS17-017和MS17-018涉及Windows核心和核心模式驅動程式中的特權提升；而MS17-019、MS17-020、MS17-021和MS17-022分别指向了Active Directory聯合身份驗證服務、Windows DVD Maker、Windows DirectShow和XML核心服務中的資訊披露問題。使用這些産品的企業應及時打更新檔。

本文轉自d1net（轉載）