近日微软在星期二补丁日发布12个安全公告，其中6个被评为关键级别。专家指出，在今年的大多数Windows安全公告中，这次发布创下新纪录。

截至11月补丁星期二，微软发布的安全公告已经超过上一个年度记录（135个）。这个月发布的12个新的安全公告意味着2016年共发布155个Windows安全公告。

Tripwire公司安全研究经理Tyler Reguly表示，这样的数字让企业很难应对。

“当我们在总结后发现，今年微软安全公告数字非常令人印象深刻——155个安全公告，这比去年创纪录的一年还增加15%，超过500个CVE，”Reguly称，“来自单个供应商就有如此多的补丁，这也难怪使用多家供应商产品的IT企业都难以保持全部产品的更新。”

在优先级列表顶部是MS16-144和MS16-145，这分别是针对IE和微软Edge的标准浏览器安全公告，还有MS16-154–它修复了嵌入式Adobe Flash Player中关键漏洞。

这些安全公告中最严重的漏洞当用户查看攻击者特制的网页时允许远程代码执行（RCE），攻击者制造的潜在损害将取决于被盗用用户账户的权限。

MS16-146修复了Windows Graphics组件中关键RCE漏洞，而MS16-147修复了Unisribe API中的RCE漏洞，它允许高度控制精细排版以及处理复杂脚本。

网络安全公司Core Security系统工程师Robby Kuzma称，这些补丁似乎是微软Springfield项目模糊技术进行深度挖掘的结果。

“Unisribe是一个API，它使用Unicode字符集进行高精度排版布局，并被用于从右到左和从上到下运行的语言，以及复杂符号和公式的布局，这是非常神秘的API，”Kuzma称，“这是连续第三个月发布的基于图形设备接口远程执行漏洞？我必须表扬微软公司，他们正在深度挖掘Windows内最老组件之一中的传统代码，他们在进行真正地清理。但所有这些漏洞都可能仍然存在于XP中。”

12月补丁星期二中最后一个关键安全公告是MS16-148，它修复了微软Office中16个漏洞。最严重的漏洞是RCE漏洞，Qualys公司工程主管Amol Sarwate称，这应该得到企业优先处理。

“这是一个远程代码执行问题，受害者可在没有任何用户交互的情况下在预览面板受到攻击，这通常发生在Outlook预览面板在收到恶意邮件后视图呈现电子邮件内容时，”Sarwate称，“另一个攻击情况需要用户交互，即打开恶意文件附件。”

在其他公告中，Kuzma建议应密切关注的是“重要”安全公告MS16-150，这个特权升级漏洞存在Windows安全内核模型中，它与虚拟信任级别有关。

“虚拟信任级别是一种隔离和缓解技术，它是微软正在进行的管理程序和容器虚拟化战略的一部分，”Kuzma称，“这里我们有针对该技术的特权升级，我认为这值得研究人员进一步探索。”

Kuzma还指出MS16-155也吸引他的注意，这是对.NET框架中信息披露漏洞的修复。

“它被评为信息泄露漏洞，它允许攻击者利用处理不当的密钥来解密通过.NET Framework Data Provider for SQL Server访问的数据，”Kuzma称，“很多企业软件都建立于此，如果落入坏人手中，可能带来严重后果。”

这个补丁星期二安全公告中还有两个特权升级安全公告–MS16-149和MS16-151，分别在Windows和Windows内核模式驱动程序中，另外还有两个信息泄露问题MS16-152和MS16-153–在Windows内核与通用日志文件系统驱动程序中。这些补丁应该在正常补丁修复中进行修复。