微软已经发布了修补零日漏洞作为 CVE-2016年-7255 俄罗斯黑客利用跟踪的安全补丁。
微软已经发布也固定俄罗斯黑客利用零日漏洞的安全修补程序。
零日漏洞跟踪已在 MS16 135 公告,也解决了两个信息披露和三个特权升级漏洞修补了 CVE-2016年-7255。零天被剥削攻击者能够通过转义沙箱保护获得管理员级别的访问权限并执行恶意代码。
谷歌选择了向公众披露该漏洞仅 10 天后私下向微软提交报告给公司,导致微软很少的时间来发布安全更新。
谷歌表示,而无需等待修补程序上市的原因是其专家经过观察在疯狂的利用。
微软批评谷歌决定,因为披露可能将客户置于危险境地。
微软的发言人在一份声明中说:“我们相信在协调的漏洞披露和今天的披露由谷歌提出了客户在潜在的风险,”。“Windows 是唯一的平台与客户承诺,调查报告的安全问题并主动尽快更新受影响的设备。我们建议客户使用 Windows 10 和微软边缘浏览器获得最佳的保护。
微软称,CVE-2016年-7255 漏洞被人利用为数有限的鱼叉式网路钓鱼攻击由俄罗斯黑客组称为典当风暴、 APT28、 APT、 Sofacy、 Sednit 和沙皇团队提供动力。
俄罗斯黑客也利用零天漏洞 (CVE-2016年-7855) 在通过发行和紧急修补程序及时修补,Adobe Flash Player。
按照安全咨询出具 Adobe,CVE-2016年-7855 开发了有针对性的攻击。该漏洞是一个使用后无问题,可能引发攻击者执行任意代码。
在最后的微软补丁星期二包括解决几个问题的 MS16-132 到 Windows 媒体基础、 Windows 动画管理器和 OpenType 字体相关的关键安全公告。
公告 MS16 132 也通过巧尽心思构建的网站或文件受害者必须打开来触发此漏洞利用野生固定远程代码执行漏洞 (CVE-2016年-7256),微软称被剥削。
公告 MS16 129 固定其他漏洞、 浏览器信息泄露漏洞 (CVE-2016年-7199) 和欺骗漏洞 (CVE-2016年-7209) 的边缘
Microsoft 安全公告 11 月 2016 年目录在这里是可用的︰
https://technet.microsoft.com/en-us/library/security/ms16-nov.aspx
Adobe 也发布了 9 Flash Player 缺陷通过 ZDI 报告安全修补程序。
该公司发布的安全更新以解决连接 Windows 中的一个漏洞和九个任意代码执行缺陷在 Flash 播放器产品。
