微軟周二發布了兩項重要公告，解決了Outlook Express和Visual Basic中的兩個嚴重漏洞，攻擊者可以利用這兩個漏洞遠程訪問敏感數據。

微軟發布這些補丁作為其每月例行的補丁計劃的一部分。

MS10-031修復Microsoft Visual Basic for Applications（VBA）中的一個嚴重漏洞。開發者可以利用VBA工具來將第三方工具裝入運行各種微軟Office應用程序的進程中。對于VBA SDK 6.0以及使用Microsoft VBA的第三方應用程序，此安全更新的等級為“嚴重”。

內存損壞漏洞使攻擊者能遠程執行代碼，并可能導致受害者的計算機被完全控制。攻擊者需要讓用戶打開一個文件，強制應用程序在運行時向VBA發送惡意代碼。對于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本，此安全更新等級為“重要”。

補丁管理專家一致認為，盡管攻擊者針對這個漏洞來寫漏洞利用代碼很難，但Visual Basic中的漏洞對微軟Office的所有受支持版本有很大的影響。

漏洞管理廠商Qualys公司的首席技術官Wofgang Kandek 說：“雖然對于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本，此安全更新等級為‘重要’，但是我們認為這很緊急。”

微軟還解決了影響Windows Mail客戶端身份驗證郵件響應方式的嚴重漏洞。MS10-030解決了在Windows 2000、XP、Vista和Windows Server 2003和2008上運行的Outlook Express、Windows Mail和Windows Live Mail中的漏洞。攻擊者需要引誘用戶訪問一個惡意電子郵件服務器，來實現攻擊。發送惡意代碼迫使郵件客戶端不需要身份驗證。成功利用該漏洞的攻擊者可以獲得與本地用戶相同的用戶權限。

微軟安全響應中心的響應通信部門經理Jerry Bryant在MSRC的博客中寫道，“為了成功利用此漏洞，攻擊者需要托管一個惡意郵件服務器或感染一個郵件服務器?；蛘?，攻擊者可以執行一個中間人攻擊，并試圖改變客戶端的響應方式。因為Windows Vista和較新的操作系統中有堆緩解，所以這個漏洞被利用的可能性不大。

微軟SharePoint仍然易受攻擊

影響SharePoint Server 2007和SharePoint Services 3.0的跨站點腳本（XSS）漏洞仍然容易受到遠程攻擊。針對零日漏洞的概念驗證代碼是公開。Bryant說，微軟的工程師仍在開發和測試修補程序。

該漏洞可以被基于瀏覽器的攻擊利用，使攻擊者能夠在易受感染的應用程序中執行JavaScript代碼。

【編輯推薦】

1. “極光”末日微軟今日發補丁修復8個IE漏洞
2. 安全公司披露微軟上月悄悄修復三個嚴重漏洞