雷锋网按，在最近一次二月份的微软周二补丁日中，软件巨头一共解决了 50 个会影响 Windows 系统、Office套件、浏览器和公司旗下其他产品的漏洞。其中，有 14 个被打上了“关键”标签，34 个被评为“重要”，只有 2 个的严重程度较为温和。

在 14 个关键漏洞中，有 Edge 浏览器的信息披露问题，也有 Windows StructuredQuery 部件的远程代码执行漏洞。此外，Outlook、Edge 和 IE 浏览器都存在内存崩溃问题。

要说这次周二补丁日解决的最严重漏洞，非影响 Outlook 的内存崩溃问题（代号 CVE-2018-0852）莫属。如果不对该漏洞进行修复，黑客就有可能通过它在目标机器上执行远程代码。

“当软件无法有效处理内存中的对象时，微软 Outlook 中会出现一个远程代码执行漏洞。只要黑客能成功利用这一漏洞，就能任意在受攻击电脑上执行代码。”微软在安全公告上写道。“如果现有用户使用管理员权限登陆，黑客更是能控制整个受攻击的系统，随意在电脑上安装程序，浏览、更改或删除数据，甚至创建拥有所有用户权限的新账户。系统中设置的用户权限越少，受影响就越小。”

想要触发该漏洞，黑客可以诱骗受害者打开一个专门 *** 的消息附件或在 Outlook 预览界面进行浏览。是的你没看错，在 Outlook 里看看邮件你可能就会中招。

“要利用该漏洞，黑客需要让用户通过被感染的 Outlook 软件打开一个特殊的文档。如果是通过 email 进行攻击，攻击者可能会给用户发送一个特制文档并说服他们打开该文档。如果要发动基于 *** 的攻击，黑客则会专门开个网站（或者利用被攻破的网站），该网站上则埋了特别设计的‘地雷’，用户一点就中招。不过，黑客无法强迫用户查看受控内容，他们只能说服用户点击。”微软解释道。

另一个会影响 Outlook 的漏洞是代号为 CVE-2018-0850 的权限升级问题。该漏洞被微软定为“重要”级别，黑客也可通过发送特制邮件来攻击 Outlook 用户。这个漏洞对黑客来说更是相当顺手，因为用户只要收到邮件它就会触发。

“成功利用该漏洞的攻击者能强迫 Outlook 加载本地或远程信息存储器（通过服务器信息块）。”微软在安全公告上警告道。

“想要利用漏洞，攻击者只需发送一封特制邮件。随后 Outlook 会试图打开 email 中一个预先配置的信息存储器。”

微软修复的另一个关键漏洞是影响 Edge 浏览器的信息披露漏洞（CVE-2018-0763）。该漏洞的产生是因为微软 Edge 浏览器没能正确的处理内存中的对象。

攻击者可以通过触发该漏洞获得敏感信息，以攻入目标机器。不过，在这里攻击者需要用户的交互。

“若 Edge 浏览器没能正确处理内存中的对象，信息披露漏洞就会出现。利用了该漏洞的攻击者能获得相关敏感信息，以便进一步渗透用户的系统。”微软在公告中写道。

雷锋网了解到，下一个漏洞早已尽人皆知，其代号为 CVE-2018-0771，可影响微软 Edge 浏览器。

“当 Edge 错误的处理了不同来历的请求，一个安全特性就会绕过现有漏洞。该漏洞让 Edge 能绕过同源政策（SOP）的限制，允许那些本该被无视的请求。利用了该漏洞的攻击者能迫使浏览器发送受限数据。”微软解释道。

总之，看到这篇文章的用户们，还是赶紧打上安全补丁吧。

雷锋网Via. Security Affairs

更多关注微信公众号：jiuwenwang