微軟於本周二(10/11)的例行性更新中發布10個安全公告,修補了45個漏洞,其中有5個是已被開採的零時差漏洞;同時本月也是微軟首度採行全新的Windows更新政策,針對舊版Windows供應累進式修補。
10個安全公告中有5個被列為重大(Critical)等級,皆可造成遠端程式攻擊,包含MS16-118、MS16-119、MS16-120、MS16-122與MS16-127,分別修補了Windows中的IE、Microsoft Edge、繪圖元件、影像控制及Adobe Flash Player的安全漏洞。
至於5個已被開採的零時差漏洞則是CVE-2016-3298(位於MS16-118)、CVE-2016-7189(位於MS16-119)、CVE-2016-3393(位於MS16-120)、CVE-2016-7193(位於MS16-121)與CVE-2016-3298(位於MS16-126)。
其中,CVE-2016-3298屬於瀏覽器的資訊外洩漏洞,CVE-2016-7189為腳本引擎的遠端程式攻擊漏洞,CVE-2016-3393是Windows繪圖元件的遠端程式攻擊漏洞,CVE-2016-7193為Offce的記憶體損毀漏洞,CVE-2016-3298則是IE的資訊外洩漏洞。
微軟於今年10月展開的全新更新政策鎖定了Windows 7 SP1、Windows 8.1、Windows Server 2008 R2、Windows Server 2012與Windows Server 2012 R2等舊版Windows作業系統,分為3種更新模式,其中兩種會在每月的第二個周二釋出,包括只進行當月安全更新的「security-only quality update」,以及內含本月安全更新及過去每月安全/非安全更新的「security monthly quality rollup」,第三種更新模式則會在每月的第三個周二發表,是第二種模式的更新內容再加上下一個月的非安全更新預覽,被微軟稱之為「preview rollup」。