Windows 10､Edge 漏洞连发　美保安机构促更新

Microsoft Windows 产品接连发现漏洞，继美国保安机构 CERT/CC 呼吁公众立即更新以修补一个 Windows 10 捷径档的漏洞后， Microsoft 日前又公布一个针对 Microsoft Edge 浏览器安全漏洞的更新，并呼吁公众立即处理。

CERT/CC 呼吁公众立即更新 Windows 10 以防执行有问题捷径档

第一个漏洞是来自 Windows 捷径档的， Windows 的 LNK 捷径档可以让用户不用重复拷贝档案，就在任意地方增设连结到指定档案去以方便随时叫用，但 Microsoft 并未安全地去取得图示（ Icon ）给捷径档使用。另一方面，在 Win 10 的档案总管显示控制台项目时，由于 Win10 提供动态图示功能，它会初始化各个物件以取得动态图示，换句话说控制台程式会执行一连串程式。攻击者可以透过这个捷径档，攻击者就可以以控制台的文脉来执行任意程式码。

Microsoft 早于 6 月便推出更新档

这个漏洞的严重性在于程式码可以放置于 USB 手指、本机以至远端档案系统、CD-ROM等地方，而用 Windows Explorer 阅览有那种捷径档的目录都会触发洞漏。 Microsoft 已经在今年 6 月发出更新以修补这个漏洞，而 CERT/CC 就因为利用这个漏洞的程式码已被公开披露而发出警告。

今次 Microsoft Edge 漏洞属重大漏洞，官方不等每月更新而是临时发布更新档。

另一个漏洞是来自 Microsoft 新型浏览器 Edge ，它有机会不当存取内存中的物件，可能会损毁内存而让攻击者有机会以使用者层级来执行任意程式码，受影响的包括各版本 Windows 10 和 Windows Server 2016。 由于事态紧急，Microsoft 就临时为各个平台的 Edge 发出修正档，各位可到这里下载安装。

Microsoft 为各个平台发出更新档