微软释出CPU漏洞缓解措施，修补已被开采的Flash漏洞

微软于本周二的Patch Tuesday安全更新中修补了50个安全漏洞，再加上针对CPU“推测执行”瑕疵的缓解措施，以及已被开采的Adobe Flash漏洞。

其实微软在上周便随着Adobe的脚步，紧急修补了CVE-2018-4877与CVE-2018-4878两个Flash的安全漏洞，只是本周再将它们纳入Patch Tuesday中。它们皆属于远端程式攻击漏洞，但其中的CVE-2018-4878 已遭骇客用来攻击 。

至于针对“推测执行”瑕疵的缓解措施则是在本周添加了针对32位元版Windows 10的保护。

在微软此次所修补的50个漏洞中，并无已被开采的零时差漏洞，但有14个被列为重大风险等级。 被资安业者ZDI点名 ，认为应该立即修补的2个漏洞为CVE-2018-0852与CVE-2018-0850。

CVE-2018-0852与CVE-2018-0850皆藏匿于Microsoft Outlook中，其中， CVE-2018-0852 为一内存毁损漏洞，该漏洞允许骇客取得使用者权限并自远端执行任意程式，该漏洞的可怕之处在于使用者甚至不必开启邮件，只需藉由Preview Pane预览邮件就能招致攻击。

至于 CVE-2018-0850 则是属于Outlook的权限扩张漏洞，骇客只要发送一个可强迫Outlook载入SMB讯息的特制邮件，就能开采该漏洞，完全不需使用者的互动。

另一资安业者Qualys则建议Windows用户应优先修补 CVE-2018-0825 漏洞，该漏洞存在于StructuredQuery中，当无法妥善处理内存中的物件时就能触发该漏洞，进而允许骇客执行远端程式。