微软修补由Google揭露的安全漏洞

微软在周二（11/8）的每月例行性更新释出了14项安全公告，其中有6项属于可远端执行程式的重大（Critical）等级，另也修补了由Google所揭露的零时差安全漏洞。

此次的安全更新涉及多项微软产品，涵盖IE、Microsoft Edge、Microsoft Office、Microsoft Office Services、Web Apps与SQL Server，同时修补有关Adobe Flash Player的安全漏洞。

6项重大等级的安全公告分别是MS16-129、MS16-130、MS16-131、MS16-132、MS16-141与MS16-142，其中的MS16-129属于Microsoft Edge的累积安全更新，当中最严重的漏洞在骇客诱导使用者造访恶意网页时，可取得使用者权限并于远端执行程式。

MS16-130修补Windows漏洞，MS16-131修补Microsoft Video Control无法妥善处理内存中物件的安全漏洞；MS16-132修补的是Microsoft Graphics Component的漏洞，其中一个漏洞允许骇客安装程式、浏览或变更资料，还能建立新的使用者账号。

MS16-141则是修补安装在多个Windows版本上的Adobe Flash Player漏洞，MS16-142修补了IE漏洞。

至于因已被开采而遭Google事先曝光的零时差漏洞则出现在MS16-135安全公告中，Google所揭露的是Windows kernel的本地端权限扩张漏洞，允许骇客绕过沙箱保护进而掌控系统。微软将MS16-135列为重要（Important ）等级。

微软亦于本月推出了全新的“安全更新指南”（Security Updates Guide）网站，以作为微软产品安全漏洞资讯的入口网站，它是一个完整的漏洞数据库，可依据产品、漏洞编号或释出日期来检视漏洞资讯，协助IT管理人员过滤不必要的资讯，并供应新的RESTful API以方便取得微软的安全更新资讯。微软现有的安全公告格式将与Security Updates Guide并存至明年1月，之后微软就只会在Security Updates Guide上发表更新资讯。