在周二的补丁日中，微软总共修复了 53 个漏洞。其中，大部分为远程代码执行错误，对应的补丁程序占到了 25 个，另外，此次被评定为严重的漏洞有 20 个。

值得注意的是，这些漏洞中已经被利用的有 4 个，分别对应 CVE-2017-11848、CVE-2017-11827、CVE-2017-11883 和 CVE-2017-8700。不过，据 Qualys 的分析，这 4 个漏洞尚未被黑客用于具体的攻击活动。

针对这一轮的补丁，安全专家表示，用户应优先修复存在于 Microsoft Edge 和 Internet Explorer 11 脚本引擎中的漏洞，Windows 10、Windows 8.1、Windows 7 和 Windows Server（1709）系统都受此影响。

“浏览器脚本引擎在处理内存中的对象时存在一处错误，可能会破坏内存，从而使得攻击者可以在当前用户的上下文中执行任意代码。” 微软在公告中提到，对应的漏洞编号为 CVE-2017-11836、CVE-2017-11837、CVE-2017-11838、CVE-2017-11839、CVE-2017-11871 和 CVE-2017-11873。如果利用成功，那么攻击者可以获得与当前用户相同的权限。而在基于浏览页面的攻击方案中，恶意者可以搭建一个精心构造的网站并诱使用户访问，如果是通过受影响的浏览器访问网站，则会触发此漏洞。

同时，Zero Day Initiative 的研究人员表示，在发现的这些严重漏洞中，还包括了一些安全防护措施绕过的错误。其中，CVE-2017-11830 的补丁用于修复 Device Guard 安全功能绕过错误，该漏洞使得恶意文件也能被系统所信任。而 CVE-2017-11877 的补丁则用于修复 Excel 的安全功能绕过错误，该漏洞会使得默认的宏设置失效。

“CVE-2017-11830 能让 Device Guard 在认证文件时产生错误，这意味着攻击者能够直接使用未签名的恶意文件。由于 Device Guard 依靠签名来判断文件是否可信，因此通过该漏洞让那些原本不可信的文件看起来是可信的，就能够达到执行恶意文件的目的，这正是恶意软件开发者一直所梦寐以求的漏洞。” ZDI 补充道。

发布的补丁中还包含一个与 Office 安全性相关的建议（ADV170020）。Zero Day Initiative 的研究人员解释道：“ADV170020 很可能与 DDE 被恶意软件滥用有关，这个建议有助于限制攻击者对 DDE 进行滥用的行为。” 尽管有大量针对 Office 的攻击利用到了 DDE，但微软始终坚持 DDE 属于产品特性而不是漏洞。

另据 Rapid7 的高级安全研究员 Greg Wiseman 表示，此次补丁日中微软还对一些开源项目进行了修复。Wiseman 介绍说：“Edge 浏览器中与 ChakraCore，即 Edge 浏览器中开源的 JavaScript 引擎，相关的 16 处漏洞也均已得到修复。” 此外，还修复了针对 .NET Core 的拒绝服务（DoS）漏洞（CVE-2017-11770），针对 ASP.NET Core 的 DoS（CVE-2017-11883）、权限提升（CVE-2017-11879）漏洞 ，以及信息泄露漏洞（CVE-2017-8700）。

最后，Qualys 提醒：“对于 Office 内存损坏漏洞（CVE-2017-11882，漏洞级别为严重）的修复也是要优先考虑的，坊间可能存在这个漏洞的 PoC 代码（相关的 WhitePaper），因此建议用户也要对 Office 进行更新。”

来源：threatpost

本文由看雪翻译小组 BDomne 编译