本周二微軟發布其例行補丁，其中包括12個公告，有四個被微軟認定為“重要”等級。

專家稱公告MS15-115應該為企業優先重視。該公告包含七個Microsoft Windows漏洞補丁，最嚴重的漏洞可能導致遠程代碼執行。兩個重要的漏洞是由Windows對Adobe類型管理庫中的字體處理不當引起的。這使得該漏洞能通過專門制作的網頁和郵件來遠程利用。

Core Security的CISSP及系統工程師Bobby Kuzma稱字體處理錯誤導致如此嚴重的漏洞是不可忽視的。

“為何認為字體處理屬于操作系統內核中最敏感的部分？”Kuzma問道。“字體美化了作品，然而讓不信任的字體流入系統長期為人們所忽視，這已經遠不止一次了，九次十次與之相關的漏洞都有了。”

事實上，這已經是微軟幾年第八次相關字體處理漏洞了，其中七個都是“重要”等級。

Tripwire安全研究員Craig Young以及安全研究主管Tyler Reguly建議企業應優先重視MS15-121，無論公告中是否認定其等級重要與否。

公告包括微軟Windows中安全通道（Schannel）漏洞的一個安全更新，該漏洞會導致欺騙和中間人攻擊。

Young稱之為強化通過微軟Schannel庫建立安全連接的重要之舉。

“微軟認定該補丁同樣重要，使用基于證書身份驗證客戶端的系統管理員應該將其與客戶端和服務器視作同等重要，因為描述型攻擊會允許惡意服務器將數據注入到會話的開，且很有可能與違反同源策略的網頁進行交互，”Young說道。“此外，這種攻擊的遍體能狗讓攻擊者以使用基于TLS身份驗證的其他協議冒充客戶。這使得該補丁對于那些使用PEAP的VPN服務器尤為重要，同時，部署SASL綁定的活動目錄也需要留心。”

MS15-112和MS15-113是微軟IE和Edge瀏覽器的補丁公告。IE的公告包括25個補丁，其中23個被評級為重要，能導致遠程控制設備，Edge的包括4個補丁，其中3個為重要，并能導致遠程控制設備。

本月最后一個重要的公告是MS15-114,處理了Windows中的一個漏洞，當用戶打開一個專門的Windows日志文件時該漏洞能被利用并導致遠程控制設備。該漏洞會影響Windows所有版本。

MS15-116解決了Microsoft Office中的7個重要的漏洞，其中5個在用戶打開專門的Office文件且受影響的用戶有足夠權限時會允許遠程代碼執行。

MS15-117、MS15-118以及MS15-119也是重要的公告，可能導致通過Wiindows NDIS、.NET框架或Winsock中漏洞獲取高特權。

MS15-122描述了一個重要漏洞的具體細節，該漏洞允許攻擊者繞過目標機器上的Kerberos身份驗證并解密由BitLocker所保護的硬盤。不過微軟稱只有在目標系統的BitLocker缺少PIN或USB密鑰時才會被利用，計算機是通過域連接的，攻擊者可獲取計算機的物理訪問權限。

MS15-120包括IPSec中漏洞的一個補丁，處理拒絕服務的漏洞，而MS15-123是商用Skype和微軟同步的一個安全更新。