微软从本月开始采用新的Windows更新政策,针对旧版Windows提供累加式修补。10月11日发布的例行性更新中共含10个安全补丁,共修补45个漏洞,其中5个为重大安全漏洞,可造成远端程序攻击,另外还包括5个零时差漏洞。 这10个安全更新有5个被列为重大(Critical)等级,均可造成远端程序攻击,包含MS16-118、MS16-119、MS16-120、MS16-122与MS16-127,分别修补了Windows中的IE、Microsoft Edge、绘图元件、影像控制及Adobe Flash Player的安全漏洞。 5个零时差漏洞则是CVE-2016-3298(位于MS16-118)、CVE-2016-7189(位于MS16-119)、CVE-2016-3393(位于MS16-120)、CVE-2016-7193(位于MS16-121)与CVE-2016-3298(位于MS16-126)。 其中,CVE-2016-3298属于浏览器的信息外泄漏洞,CVE-2016-7189为脚本引擎的远端程序攻击漏洞,CVE-2016-3393是Windows绘图元件的远端程序攻击漏洞,CVE-2016-7193为Offce的存储器损毁漏洞,CVE-2016-3298则是IE的信息外泄漏洞。 微软于今年10月开始的全新更新政策锁定Windows 7SP1、Windows 8.1、Windows Server 2008 R2、Windows Server 2012与Windows Server 2012 R2等旧版Windows操作系统分为3种更新模式,其中两种会在每月的第二个周二发布,包括只进行当月安全更新的“security-only quality update”,以及内含本月安全更新及过去每月安全/非安全更新的“security monthly quality rollup”,第三种更新模式则会在每月的第三个周二发表,是第二种模式的更新内容再加上下一个月的非安全更新预览,被微软称之为“preview rollup”。 |
|