快更新!微软一举修补逾60个安全漏洞，超过1/3为重大漏洞

微软于本周二（4/10）的Patch Tuesday修补了超过60个安全漏洞，其中有24个被列为重大（Critical）漏洞，可能惹来远端程式攻击，其中，CVE-2018-103虽然只被列为重要（Important）漏洞，却是此次所修补的漏洞中，唯一已被公开的，此次微软也罕见地修补了硬件漏洞—存在于微软无线键盘850中的CVE-2018-8117漏洞。

微软的4月修补主要牵涉Internet Explorer、Microsoft Edge、Microsoft Office、Microsoft Visual Studio、Microsoft Hyper-V、Microsoft EOT Font Engine、Microsoft Windows与ChakraCore等微软产品。

在众多漏洞中CVE-2018-1034漏洞为一存在于Microsoft SharePoint Server中的权限扩张漏洞，该漏洞源自于SharePoint Server无法妥善处理特制的网络请求。成功开采该漏洞的骇客将能执行跨站脚本程式攻击，并读取原本未被授权的内容，也能使用受害者的身份于SharePoint网站上活动，诸如更改权限或删除内容等。

虽然CVE-2018-1034漏洞在微软修补前就被公开，不过它只影响SharePoint Enterprise Server 2016，也尚未遭到攻击。

至于CVE-2018-8117则为微软Wireless Keyboard 850无线键盘中的安全绕过漏洞，根据微软的说明，相关漏洞将允许骇客重新利用一个AES加密金钥来将按键敲击动作传送到其它键盘，或是读取其它键盘传回至被骇键盘的按键动作。要执行相关攻击以前，骇客必须位于键盘的无线网络范围内并取得AES加密金钥，为了解决此一问题，微软强制要求每个无线键盘所产生的AES加密金钥都是独一无二的。

除了本周二的定期修补之外，安全专家也呼吁使用者别忘了修补微软于今年3月底紧急修补>的CVE-2018-1038漏洞。