微软释出61项安全更新，修补包含Office上已被骇客开采的零时差漏洞

微软在本周二（4/11）释出了61项安全更新，修补IE、Microsoft Edge等产品漏洞，包括已遭到骇客开采的Office零时差漏洞。

该漏洞存在于Office文件中允许嵌入物件或连结的Object Link and Embedding （OLE）中，根据资安业者FireEye的说明，骇客可传递一个含有OLE嵌入式物件的Word档案给目标对象，当使用者开启档案时，它就会存取远端服务器，以下载一个假冒为合法RTF档案（丰富文字格式档案），实为HTA档案（HTML档案）且内含VBScript的恶意程式，还会关闭winword.exe，以避免使用者看到OLE物件的提醒视窗。

该漏洞让骇客可在系统上执行任意程式，卡内基美隆大学网络紧急应变中心（CERT）指出，借由该漏洞，骇客可能不只是要攻击Word，而是着眼于Windows上的其他元件。

事实上，资安业者已发现骇客利用该漏洞传递了多种恶意程式，包括可用来窃取银行资讯的木马程式Dridex。

此一代号为CVE-2017-0199的漏洞影响包括Windows 10在内的所有Office版本，微软则在本周修补了该漏洞。

除了Office之外，微软本周所修补的安全漏洞还涉及了IE、Microsoft Edge、Windows、Visual Studio for Mac、.NET Framework、Silverlight及Adobe Flash Player等产品。