微软连续公布两项“重大”Windows 10漏洞，呼吁用户赶快打补丁！

（图／微软官网）

继3/12先公布一项「CVE-2020-0796」安全漏洞、同时紧急推出安全更新之后，微软稍早又警告另一项漏洞，且目前也暂未推出更新档让用户安装。微软并将两项漏洞的风险，都标为「重大」（critical）等级。

其中，较早公开的「CVE-2020-0796」是一个SMB（Server Message Block）协议的漏洞，能让黑客从远距攻击，在用户的服务器端或客户端执行任何代码，并拿到系统的最高权限。受影响的机型，则包括Windows 10 v1903、v1909，以及Windows Server v1903、v1909，但Windows 7装置则不受影响。

该漏洞在风险上，更被视为能与2017年的「永恒之蓝」（EternalBlue）比拟。此一漏洞导致WannaCry、NotPetya等勒索软件在该年份全球肆虐。微软原先计划到4月才推送补丁，但目前已紧急释出更新档让用户升级。

另一项漏洞则与Windows内置的Adobe Type Manager字体库有关。该漏洞是以欺骗用户开启恶意文件（包含预览）在内的方式，让黑客可以远距执行任意代码。

不过，与「CVE-2020-0796」不同，虽然同样注记为「重大」资安风险漏洞，但这项漏洞则需等到4月（预计为4月14日），才会有正式的安全更新上线。微软也坦言，目前已观察到有黑客用这一途径进行攻击。会受到影响的装置，则包括所有Windows 10机型、Windows 7、Windows8.1，以及Windows Server 2008、2012、2016和2019版。

在正式补丁上线前，微软也建议了一些方式来简单自保，例如关闭Windows档案总管的预览和详细内容窗格。