每月第二个周二是微软固定的补丁修复日，微软于本周二（2015-4-14）的“补丁日”上修复了大量漏洞，其中包括众多IE、Windows、Office高危漏洞。

更新公告

MS15-034公告

MS15-034公告上更新了一个高危漏洞，攻击者可在受害者机器上远程执行代码或者提升权限。详细的说就是，一旦攻击者知道了如何创建特制的HTTP请求，他们就会对所有他们知道的web服务器进行扫描，直至找到一个存在漏洞的服务器。这可能和大部分漏洞一样，没有什么特别之处，其实不然，原因一是微软提供的工作环境很有限，当IT管理员测试、调试补丁的时候不能很好的保护他们；二是Windows web服务器上的图标编码。企业惯用的web服务器就是Windows服务器，而且经常会在其上存储一些敏感信息。

受影响的系统版本

Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2；而Windows Server 2003却不受影响。

攻击者会利用该漏洞在受害者IIS web 服务器上用受害者账户运行恶意代码，同时还可以结合本地漏洞提升用户权限，将其变成管理员，从而植入永久性的恶意代码。

MS15-033公告

MS15-033公告中共修复了3个Office软件漏洞，软件版本不同其危险程度也不一样，在Word 2007和Office 2010上被标记为高危，而在Office 2013、SharePoint Server 2013和Office Web Apps Server 2013上则被标记为了危险。

该公告中还修复了Mac版微软Outlook App上的一个跨站脚本漏洞、IE浏览器漏洞、还有Pwn2Own上披露的浏览器漏洞。

MS15-032公告

MS15-032公告中修复了IE上的10个漏洞，其中9个是不同类型的内存泄露漏洞，1个ASLR绕过漏洞。漏洞类型分别有安全功能绕过、权限提升、信息泄露和远程代码执行。

MS15-035公告

MS15-035公告中修复了Windows Enhanced Metafile （EMF）图像中的一个漏洞。如果受害者访问了攻击者伪造的网站，或者打开了一个伪造的文件，或者浏览了一个包含特制Enhanced Metafile （EMF）图像文件的工作目录，就表示进入了攻击者的战营，可导致远程执行恶意代码。

其他补丁更新公告

MS15-036修复了SharePoint Server上的权限提升漏洞
MS15-037修复了Windows Task Scheduler上的权限提升漏洞
MS15-038修复了Windows NTCreate Transaction Manager和MS-DOS上权限提升漏洞
MS15-039修复了XML Core Services上的安全功能绕过漏洞
MS15-040修复了Active Directory Federation Services上的信息泄露漏洞
MS15-041修复了.NET Framework上的信息泄露漏洞
MS15-042修复了Windows Hyper-V上的拒绝服务漏洞

Adobe修复Flash、ColdFusion、Flex漏洞

Flash更新了22个安全漏洞，包括CVE-2015-3043远程代码执行漏洞。

受影响的版本

Adobe Flash Player 17.0.0.134 及其之前版本
Adobe Flash Player 13.0.0.277 及其13.x之前的版本
Adobe Flash Player 11.2.202.451及其11.x之前的版本

ColdFusion修复了一个输入验证漏洞，漏洞编号为CVE-2015-0345。Flex修复了ASDoc工具上的JavaScript输出漏洞，Flex 4.6及其之前版本均受影响。

* 参考来源threatpost，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）