注意啦! 微软一举修补超过60个安全漏洞 超过1/3为重大漏洞

微软于本周二（4/10）的Patch Tuesday修补了超过60个安全漏洞，其中有24个被列为重大（Critical）漏洞，可能惹来远程程序攻击，其中，CVE-2018-103虽然只被列为重要（Important）漏洞，却是此次所修补的漏洞中，唯一已被公开的，此次微软也罕见地修补了硬件漏洞—存在于微软无线键盘850中的CVE-2018- 8117漏洞。

微软的4月修补主要涉及Internet Explorer、Microsoft Edge、Microsoft Office、Microsoft Visual Studio、Microsoft Hyper-V、Microsoft EOT Font Engine、Microsoft Windows与ChakraCore等微软产品。

在众多漏洞中CVE-2018-1034漏洞为一存在于Microsoft SharePoint Server中的权限扩张漏洞，该漏洞源自于SharePoint Server无法妥善处理特定的网络请求。成功开采该漏洞的黑客将能执行跨站脚本程序攻击，并读取原本未被授权的内容，也能使用受害者的身份于SharePoint网站上活动，诸如更改权限或删除内容等。

虽然CVE-2018-1034漏洞在微软修补前就被公开，不过它只影响SharePoint Enterprise Server 2016，也尚未遭到攻击。

至于CVE-2018-8117则为微软Wireless Keyboard 850无线键盘中的安全绕过漏洞，根据微软的说明，相关漏洞将允许黑客重新利用一个AES加密密钥来将按钮敲击动作发送到其它键盘，或是读取其它键盘传回至被黑键盘的按钮动作。要执行相关攻击以前，黑客必须位于键盘的无线网络范围内并取得AES加密密钥，为了解决该问题，微软强制要求每个无线键盘所产生的AES加密密钥都是独一无二的。

除了本周二的定期修补之外，安全专家也呼吁用户别忘了修补微软于今年3月底紧急修补>的CVE-2018-1038漏洞。