警告：你的Windows PC可能会因访问网站而被黑

本文主要介绍微软在4月份修补的一些漏洞。

点击恶意链接或打开网站是否可能导致你的PC被黑？答案是肯定的。

微软刚刚发布了4月份 Patch Tuesday（补丁星期二）的安全更新，该更新解决了Windows操作系统和其他产品中的多个严重的漏洞，其中五项可能允许攻击者通过诱导你访问网站来入侵你的计算机。

微软修补了Windows Graphics Component中的五个关键漏洞，这些漏洞是由于Windows字体库对嵌入式字体处理不当而导致的，并且该漏洞影响当前所有版本的Windows操作系统，包括Windows 10/8.1/RT 8.1/7，以及Windows Server 2008/2012/2016。

攻击者可以通过诱导不知情的用户打开恶意文件或精心构建的带有恶意字体网站来利用这些漏洞，如果在web浏览器将其打开，那么受影响系统将会被攻击者入侵。

微软Windows Graphics中的这五个漏洞都是由Flexera Software的安全研究员Hossein Lotfi发现并披露的：

• CVE-2018-1010
  
• CVE-2018-1012
  
• CVE-2018-1013
  
• CVE-2018-1015
  
• CVE-2018-1016
  

微软Windows Graphics还受到一个DoS（拒绝服务）漏洞的影响，该漏洞可能允许攻击者攻击目标系统，使其停止响应。这个漏洞是由Windows在内存中处理对象的方式不当导致的。

微软还披露了另一个重要的RCE（远程代码执行）漏洞（CVE-2018-1004）的细节，该漏洞存在于Windows VBScript Engine中并影响所有版本的Windows操作系统。

微软解释说：“在基于web的攻击情形中，攻击者可以托管一个精心构建的网站，该网站旨在通过IE浏览器利用漏洞，然后诱导用户访问该网站。”

“攻击者还可以在嵌入IE内核的应用程序或Microsoft Office文档中嵌入标记为'安全初始化'的ActiveX控件。”

此外，微软还修补了Microsoft Office和Microsoft Excel中的多个RCE漏洞，这些漏洞可使攻击者控制目标系统。

安全更新还包含针对Adobe Flash Player的六个漏洞补丁，其中三个漏洞被评为严重。

针对Windows、Microsoft Office、IE、Microsoft Edge、ChakraCore，Malware Protection Engine、Microsoft Visual Studio和Microsoft Azure IoT SDK的其他CVE漏洞，以及一些Adobe Flash Player的bug也被修复。

强烈建议用户尽快更新安全补丁，以防止黑客和网络犯罪分子有可乘之机。

安装安全更新，只需打开设置→更新和安全→Windows更新→检查更新，或者直接安装更新。

原文链接：https://thehackernews.com/2018/04/windows-patch-updates.html

编译：看雪翻译小组SpearMint

校对：看雪翻译小组skeep

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课