近日微軟在星期二補丁日發布12個安全公告，其中6個被評為關鍵級別。專家指出，在今年的大多數Windows安全公告中，這次發布創下新紀錄。

截至11月補丁星期二，微軟發布的安全公告已經超過上一個年度記錄（135個）。這個月發布的12個新的安全公告意味著2016年共發布155個Windows安全公告。

Tripwire公司安全研究經理Tyler Reguly表示，這樣的數字讓企業很難應對。

“當我們在總結后發現，今年微軟安全公告數字非常令人印象深刻——155個安全公告，這比去年創紀錄的一年還增加15%，超過500個CVE，”Reguly稱，“來自單個供應商就有如此多的補丁，這也難怪使用多家供應商產品的IT企業都難以保持全部產品的更新。”

在優先級列表頂部是MS16-144和MS16-145，這分別是針對IE和微軟Edge的標準瀏覽器安全公告，還有MS16-154--它修復了嵌入式Adobe Flash Player中關鍵漏洞。

這些安全公告中最嚴重的漏洞當用戶查看攻擊者特制的網頁時允許遠程代碼執行（RCE），攻擊者制造的潛在損害將取決于被盜用用戶賬戶的權限。

MS16-146修復了Windows Graphics組件中關鍵RCE漏洞，而MS16-147修復了Unisribe API中的RCE漏洞，它允許高度控制精細排版以及處理復雜腳本。

網絡安全公司Core Security系統工程師Robby Kuzma稱，這些補丁似乎是微軟Springfield項目模糊技術進行深度挖掘的結果。

“Unisribe是一個API，它使用Unicode字符集進行高精度排版布局，并被用于從右到左和從上到下運行的語言，以及復雜符號和公式的布局，這是非常神秘的API，”Kuzma稱，“這是連續第三個月發布的基于圖形設備接口遠程執行漏洞？我必須表揚微軟公司，他們正在深度挖掘Windows內最老組件之一中的傳統代碼，他們在進行真正地清理。但所有這些漏洞都可能仍然存在于XP中。”

12月補丁星期二中最后一個關鍵安全公告是MS16-148，它修復了微軟Office中16個漏洞。最嚴重的漏洞是RCE漏洞，Qualys公司工程主管Amol Sarwate稱，這應該得到企業優先處理。

“這是一個遠程代碼執行問題，受害者可在沒有任何用戶交互的情況下在預覽面板受到攻擊，這通常發生在Outlook預覽面板在收到惡意郵件后視圖呈現電子郵件內容時，”Sarwate稱，“另一個攻擊情況需要用戶交互，即打開惡意文件附件。”

在其他公告中，Kuzma建議應密切關注的是“重要”安全公告MS16-150，這個特權升級漏洞存在Windows安全內核模型中，它與虛擬信任級別有關。

“虛擬信任級別是一種隔離和緩解技術，它是微軟正在進行的管理程序和容器虛擬化戰略的一部分，”Kuzma稱，“這里我們有針對該技術的特權升級，我認為這值得研究人員進一步探索。”

Kuzma還指出MS16-155也吸引他的注意，這是對.NET框架中信息披露漏洞的修復。

“它被評為信息泄露漏洞，它允許攻擊者利用處理不當的密鑰來解密通過.NET Framework Data Provider for SQL Server訪問的數據，”Kuzma稱，“很多企業軟件都建立于此，如果落入壞人手中，可能帶來嚴重后果。”

這個補丁星期二安全公告中還有兩個特權升級安全公告--MS16-149和MS16-151，分別在Windows和Windows內核模式驅動程序中，另外還有兩個信息泄露問題MS16-152和MS16-153--在Windows內核與通用日志文件系統驅動程序中。這些補丁應該在正常補丁修復中進行修復。