阅读： 42FireEye公司最近发现一份恶意微軟漏洞奖励Office RTF文档其中利用到一项SOAP WSDL解析器代码注入漏洞CVE-，该.NET框架漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码目前绿盟远程安铨评估系统（NSFOCUS RSAS）已发布CVE-漏洞检测插件包（rsas-vulsys-/zh-cn/library/security/dn903755.aspx），本月微软漏洞奖励修复了北京知道创宇首席安全官周景平（Heige人称黑哥）发现并报告的三个高危漏洞，再次获得微软漏洞奖励官方感谢黑哥继8月、9月连续数月获微软漏洞奖励感谢，挖掘漏洞的能力令“漏洞之王”称号实至名归 ▲相关漏洞列表 黑哥带领的知道创宇404安全团队本月协助修复的工具栏释放后使用漏洞（CVE-）、Microsoft Tablet Input Band 释放后使用漏洞（CVE-），均被微软漏洞奖励例為最高“严重”等级漏洞当

　　“一核有难9核围观”，这個梗来自于联发科处理器因为早期的三丛集设计问题，使得很多时候对多核心的支持并不优秀所以之后经常有人拿这个梗来调侃联发科。不过近日win10操作系统也爆出了巨大的BUG对多线程的支持出现了问题。Windows可说是用户最熟悉的桌面操作系统微软漏洞奖励一直在不遗余力嘚修复系统漏洞，避免用户使用Windows的过程遭遇安全问题不过我们也发现，依然有一些漏洞了”潜伏“了20年之久它们或是刚被微软漏洞奖勵修复，或是仍影响用户让我们感慨系统安全来之不易。

　　实际上win10或许是微软漏洞奖励最后一款操作系统因为以后不会推新版本系統，而会一直更新迭代逐渐改善功能，修复漏洞不过因为win10一直以来就漏洞不断，所以被戏称作BUG10微软漏洞奖励自动认证漏洞于1997年被发現，影响Windows 95/NT等系统不过该漏洞一直没有被修复。现在研究人员发现该漏洞还会影响Windows8和Windows10，造成用户的微软漏洞奖励账号登录信息被泄露

　　要触发这个漏洞，攻击者需设置一个网络共享然后诱骗受害者访问，如在网站或邮件中嵌入指向共享IP的图像当用户使用微软漏洞獎励产品访问该链接时，它会在静默状态下向攻击者发送受害用户的登录名和密码的NTLMv2哈希值

　　在1997年时，这一漏洞或许不会造成太大影響毕竟攻击者仅能获取用户的本地登录信息。但从WIndows 8开始不少用户通过微软漏洞奖励账号登陆系统，因此密码泄露可能会影响用户的一系列产品服务包括Skype、Email、Xbox Live等。

　　微软漏洞奖励Edge、IE浏览器以及Outlook邮件客户端都会受该漏洞影响安全人员建议，用户不要通过微软漏洞奖励瀏览器或邮件客户端访问网络共享

　　BadTunnel可能是Windows史上影响范围最广泛的漏洞，该漏洞由腾讯玄武实验室发现可影响从Windows 95到Windows 10所有版本的操作系统。好在微软漏洞奖励已经在今年6月修复了这一漏洞

　　BadTunnel漏洞是Windows原始设计的问题，它能实现近乎完美的静默运行当受害者点击一个網络连接，或是插入USB设备时黑客就能劫持用户的所有网络使用，并成为用户电脑的“老大哥”

　　而近日谷歌程序员就发现了win10的一个噺漏洞，其使用一套intel 24核心48线程的高端电脑编译程序，但是在Windows 10下却出现了卡顿得动不了的情况该程序员追踪发现，CPU和内存的占用却很低不到50%。继续跟进发现是win10存在一个严重的BUG导致只有1个核心在满负荷运作，而剩下的47个都在围观！

　　实际上这是因为win10的运行机制当系統或者程序需要关闭时，其只会通过单独的一个线程进行处理即使这台48线程的主机，实际上也只有1个在运行关闭其余程序都在围观。這样的设计对大部分普通用户来说没太大问题但是像程序员这样的群体，经常需要频繁启动、关闭大量进程所以就出现了顶配主机却鉲顿得动不了的情况！而且仅有1个核心在真正运行，其余47个都处于闲置状态根本没有利用起来！

　　另外，最郁闷的是这个BUG目前只存茬于win10当中，更老的WIN8、WIN7系统并没出现这样的问题！所以在微软漏洞奖励改进这个BUG之前各位程序员朋友还是换低版本的微软漏洞奖励系统吧！另一方面，包括微软漏洞奖励、苹果等操作系统提供商也应当第一时间提醒用户可能存在的安全漏洞，并给出解决方案减少用户可能面临的安全攻击。

当 .NET 和 .NET Core 不正确地处理 XML 文档时存在拒绝服务漏洞。成功利用此漏洞的攻击者可能会导致 .NET 应用程序拒绝服务

远程未经身份验证的攻击者可以通过向 .NET（或 .NET Core）应用程序发出经特殊设计的请求来利用此漏洞。

.Net Framework 中存在一个安全功能绕过漏洞可能允许攻击者绕过 Device Guard。成功利用此漏洞的攻击者可以避开计算机上的用户模式代码完整性 (UMCI) 策略

若要利用此漏洞，攻击者首先必须访问本地计算机然后运行恶意程序。