Windows 10周年更新：盡管沒發補丁但成功修復了兩處零日漏洞

微軟近日披露了關于 Windows 10 周年更新的細節，盡管沒有發布正式補丁但在周年更新中修復了兩個“關鍵”級別的零日漏洞，最大程度的保護用戶安全。在今天更新的長博文中，Windows Defender ATP 研究團隊的 Matt Oh 和 Elia Florio 透露，在周年更新中阻止黑客利用這兩個零日漏洞對用戶發起攻擊。

第一個零日漏洞編號為 CVE-2016-7255，根據微軟表示在去年 10 月 Strontium 黑客團隊曾利用該漏洞對美國用戶發起攻擊。使用輔助 Flash Player 安全漏洞，攻擊者嘗試訪問系統并不斷提升權限。而在升級 Windows 10 周年更新之后，用戶可免受攻擊影響。

第二個零日漏洞編號為 CVE-2016-7256，通過受損的字體文件來提升權限。微軟表示首次攻擊時間為 2016 年 6 月，攻擊目標為韓國用戶。該漏洞的最終目標是安裝 Hankray 后門，從而讓攻擊者完全控制系統。

微軟表示即將到來的 Windows 10 Creators Update 將會包含一些安全方面的改善，緩解零日漏洞的負面影響。該更新將于今年 4 月份推出。

來自: cnBeta