微軟發布2009年7月安全公告(附補丁下載地址)
本公告摘要列出了 2009 年 7 月發布的安全公告。
對于2009 年7 月發布的安全公告,本公告摘要替代2009年7月9日最初發布的公告預先通知。有關公告預先通知服務的詳細信息,請參閱 Microsoft 安全公告預先通知。Microsoft 將在2009年7月15 日上午11 點(美國和加拿大太平洋時間)進行網絡廣播,以解答客戶關于這些公告的疑問。北京時間7月15日早間消息,微軟公司發布2009年7月安全公告,共包括6項安全修補。其中Embedded OpenType 字體引擎中的漏洞可能允許遠程執行代碼 (961371)一項引人注目。
摘要
下表概述了本月的安全公告(按嚴重性排序)。
MS09-029
Embedded OpenType 字體引擎中的漏洞可能允許遠程執行代碼 (961371)
此安全更新解決 Microsoft Windows 組件 Embedded OpenType (EOT) 字體引擎中的兩個秘密報告的漏洞。 這些漏洞可能允許遠程執行代碼。 成功利用這些漏洞的攻擊者可以遠程完全控制受影響的系統。 攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。 那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。
Microsoft DirectShow 中的漏洞可能允許遠程執行代碼 (971633)
此安全更新可解決 Microsoft DirectShow 中一個公開披露和兩個秘密報告的漏洞。 如果用戶打開特制的 QuickTime 媒體文件,這些漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以獲得與本地用戶相同的用戶權限。 那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。
ActiveX Kill Bit 的累積性安全更新 (973346)
此安全更新可解決 Microsoft Video ActiveX 控件中一個秘密報告的漏洞。 如果用戶使用其中使用 ActiveX 控件的 Internet Explorer 查看特制網頁,則此漏洞可能允許遠程執行代碼。 那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。
Virtual PC 和 Virtual Server 中的漏洞可能允許特權提升 (969856)
此安全更新可解決 Microsoft Virtual PC 和 Microsoft Virtual Server 中一個秘密報告的漏洞。 成功利用此漏洞的攻擊者可執行任意代碼,并可完全控制受影響的來賓操作系統。 攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。
Microsoft ISA Server 2006 中的漏洞可能導致特權提升 (970953)
此安全更新可解決 Microsoft Internet Security and Acceleration (ISA) Server 2006 中的一個秘密報告的漏洞。如果攻擊者成功模擬專為 Radius 一次性密碼 (OTP) 身份驗證和委派 Kerberos 受約束的委派的身份驗證配置的 ISA 服務器的管理用戶帳戶,此漏洞可能允許特權提升。
Microsoft Publisher 中的漏洞可能允許遠程執行代碼 (969516)
此安全更新解決了 Microsoft Office Publisher 中一個秘密報告的漏洞,如果用戶打開特制的 Publisher 文件,則該漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。 那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。
受影響的軟件和下載位置
下面按主要軟件類別和嚴重性的排序列出了公告。
Microsoft Windows 2000
公告標識符
MS09-029
綜合嚴重等級
嚴重
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
(嚴重)
Windows XP
公告標識符
MS09-029
綜合嚴重等級
嚴重
Windows XP Service Pack 2 和 Windows XP Service Pack 3
Windows XP Service Pack 2 和 Windows XP Service Pack 3
(嚴重)
Windows XP Professional x64 Edition Service Pack 2
Windows XP Professional x64 Edition Service Pack 2
(嚴重)
Windows Server 2003
公告標識符
MS09-029
綜合嚴重等級
嚴重
Windows Server 2003 Service Pack 2
Windows Server 2003 Service Pack 2
(嚴重)
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
(嚴重)
Windows Server 2003 SP2(用于基于 Itanium 的系統)
Windows Server 2003 SP2(用于基于 Itanium 的系統)
(嚴重)
Windows Vista
公告標識符
MS09-029
綜合嚴重等級
嚴重
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
(嚴重)
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
(嚴重)
Windows Server 2008
公告標識符
MS09-029
綜合嚴重等級
嚴重
Windows Server 2008(用于 32 位系統)和 Windows Server 2008(用于 32 位系統)Service Pack 2
Windows Server 2008(用于 32 位系統)和 Windows Server 2008(用于 32 位系統)Service Pack 2*
(嚴重)
Windows Server 2008(用于基于 x64 的系統)和 Windows Server 2008(用于基于 x64 的系統)Service Pack 2
Windows Server 2008(用于基于 x64 的系統)和 Windows Server 2008(用于基于 x64 的系統)Service Pack 2*
(嚴重)
Windows Server 2008(用于基于 Itanium 的系統)和 Windows Server 2008(用于基于 Itanium 的系統)Service Pack 2
Windows Server 2008(用于基于 Itanium 的系統)和 Windows Server 2008(用于基于 Itanium 的系統)Service Pack 2
(嚴重)
注意 您可能必須為單個漏洞安裝幾個安全更新。 查看列出的每個公告標識符的整列,核實必須安裝的更新(基于系統上已安裝的程序或組件)。
微軟公司表示,此次更新將修補最近曝光的兩個0-day漏洞:DirectShow和MPEG2視頻流漏洞。
目前,該漏洞已在國內廣泛傳播,被黑客用來散布木馬病毒,用戶應盡快安裝該更新補丁,以免受惡意攻擊。
#p#
下載更新(依重要性排序):
嚴重(3)
Embedded OpenType 字體引擎中的漏洞可能允許遠程執行代碼 (961371)
Windows Server 2003安全更新程序(KB961371)
Windows Server 2003 x64安全更新程序(KB961371)
Windows Server 2008安全更新程序(KB961371)
Windows Vista x64安全更新程序(KB961371)
Windows Server 2008 x64安全更新程序(KB961371)
Microsoft DirectShow 中的漏洞可能允許遠程執行代碼 (971633)
DirectX 8 for Windows 2000安全更新程序(KB971633)
DirectX 9 for Windows 2000安全更新程序(KB971633)
Windows Server 2003安全更新程序(KB971633)
Windows Server 2003 x64安全更新程序(KB971633)
ActiveX Kill Bit 的累積性安全更新 (973346)
用于Windows 2000下的ActiveX Killbit安全更新程序(KB973346)
用于Windows XP的ActiveX Killbit安全更新程序(KB973346)
用于Windows Vista的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2003的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2003 x64的ActiveX Killbit安全更新(KB973346)
Windows Server 2008的ActiveX Killbit安全更新程序(KB973346)
Windows 7 RC的ActiveX Killbit安全更新程序(KB973346)
Windows Vista x64的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2008 x64的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2008 R2 RC x64的ActiveX Killbit安全更新程序(KB973346)
Windows 7 RC x64的ActiveX Killbit安全更新程序(KB973346)
重要(3)
Virtual PC 和 Virtual Server 中的漏洞可能允許特權提升 (969856)
Microsoft Virtual PC 2004 SP1安全更新程序(KB969856)
Microsoft Virtual PC 2007安全更新程序(KB969856)
Microsoft Virtual PC 2007 SP1安全更新程序(KB969856)
Microsoft Virtual Server 2005 R2 SP1安全更新程序(KB969856)
Microsoft ISA Server 2006 中的漏洞可能導致特權提升 (970953)
帶有支持能力更新的ISA Server 2006的安全更新(KB970811)
ISA Server 2006 SP1安全更新(KB971143)
Microsoft Publisher 中的漏洞可能允許遠程執行代碼 (969516)
Microsoft Office Publisher 2007安全更新(KB969693)
其它更新:
Microsoft Office Outlook 2003垃圾郵件篩選器更新(KB971931)
Microsoft Office Outlook 2007垃圾郵件篩選器更新(KB971933)
應用程序:
Windows Server 2008 備注
*Windows Server 2008 服務器核心安裝不受影響。 如果安裝 Windows Server 2008 時使用“服務器核心”安裝選項,則此更新所解決的漏洞不會影響 Windows Server 2008 的受支持版本。 有關該安裝選項的詳細信息,請參閱服務器核心。 注意,“服務器核心”安裝選項不適用于某些 Windows Server 2008 版本;請參閱比較“服務器核心”安裝選項。
MS09-032 注釋
**嚴重等級不適用于此更新,因為此公告中討論的漏洞不影響此軟件。 但是,作為針對將來可能發現的任何新媒介的縱深防御措施,Microsoft 建議使用此軟件的客戶應用此安全更新。
MS09-028 注釋
***DirectX 9.0 的更新也適用于 DirectX 9.0a、DirectX 9.0b 和 DirectX 9.0c。
【責任編輯:王文文 TEL:(010)68476606】
