北京時間10月12日凌晨，微軟發布10月例行安全更新，批量修復了來自Google Project Zero、趨勢科技、奇虎360、騰訊、卡巴斯基等公司報告的共計40處安全漏洞。本次更新涉及Win10/Win8.1/Win7等系統和Microsoft Office、GDI(圖形設備接口)等部分組件。

　　圖：微軟10月安全公告部分截圖

從官方發布的漏洞詳情來看，這個補丁日頗不太平，Proofpoint公司的兩位研究員報告的IE瀏覽器信息泄漏漏洞(CVE-2016-3298)可被攻擊者利用窺視磁盤上的文件進程;卡巴斯基實驗室提交的圖形組件遠程代碼執行漏洞(CVE-2016-3393)則可讓攻擊者借此遠程控制操作系統，實現監控、更改或刪除數據、獲取用戶權限等諸多操作。

據悉，這兩個漏洞此前就已經被黑客發現并使用，也就是俗稱的“野外”利用。IE 0day漏洞CVE-2016-3298更是被加入國外流行的中微子EK(Exploit kits)黑客工具包中，不法分子可以利用該漏洞實施大規模掛馬甚至APT定向攻擊。微軟官方將該漏洞定義為高危級別，建議用戶立即更新補丁。

澳洲國防部計算機應急響應中心(Austrian MilCERT)提交的Microsoft Office內存損壞漏洞(CVE-2016-7193)也在本月得到修復。據外媒稱，該0day漏洞的目標是澳洲軍隊網絡系統，黑客若成功利用該漏洞可實現任意代碼執行，如果當前用戶權限為管理員權限，黑客還可借機全面控制系統。

　　圖：國內安全廠商在微軟10月安全公告中獲致謝

值得關注的是，中國安全廠商已經成為微軟、谷歌、蘋果等互聯網巨頭安全體系中的重要力量，此次微軟的漏洞致謝公告中奇虎360、騰訊、百度等國內廠商一起上榜，他們幫助微軟發現并修復了特權提升漏洞、內存損壞漏洞、信息泄露漏洞等8枚漏洞。其中，360研究團隊已累計獲得微軟致謝121次，成為目前唯一一個幫助微軟修復上百個漏洞的中國安全廠商。