微軟發布10個安全公告 強調三個嚴重補丁更新
雖然微軟周二發布了10個安全公告,解決了Windows 、Microsoft SharePoint、Internet Explorer(IE)、Internet信息服務(IIS)和.NET框架中的34個漏洞,但是微軟安全響應中心(MSRC)的成員要求用戶立即優先更新以下三個嚴重公告——MS10-33、MS10-034和MS10-035。
微軟響應通信集團經理Jerry Bryant和高級安全程序經理Adrian Stone敦促用戶立即安裝MS10-033,它解決媒體解壓漏洞——該漏洞可能允許遠程執行代碼,并可能導致路過式下載,例如,如果用戶通過電子郵件收到損壞的media或特制的傳輸媒體文件破損網站。遠程代碼執行漏洞可以在Quartz.dll和Asycfilt.dll中找到。
根據Shavlik Technologies 公司的數據和安全經理Jason Miller所說,僅僅關注互聯網瀏覽器補丁的日子已經改變了。他說,微軟在過去六到八個月里一直都非常關注修復其媒體格式和播放器漏洞。
Miller說,“攻擊者在關注瀏覽器攻擊的同時,也越來越多地關注媒體播放器。我可以保證,現在,已經有人在你的網絡上,瀏覽因特網,查看湯姆克魯斯在《熱帶驚雷》里所演的Les Grossman跳舞(本周MTV電影獎中受歡迎的視頻)。很有可能的是這些視頻文件被損壞了。”該公告應該作為高度優先事項。
MS10-034是這個月另一個重要公告,它是Active Kill Bits的累積安全更新,它可以確保有缺陷的ActiveX控件不會通過Internet Explorer被利用。微軟的Stone 在MSRC網站上發布的視頻中說,“我們強烈建議用戶,即使這些控件進行了更新,也要重設Kill Bits。”
微軟控件將向Kill Bits申請兩個控件: Internet Explorer 8開發工具控件和數據分析器ActiveX控件。數據分析器ActiveX控件不是默認安裝的,但用戶可以通過第三方應用程序來安裝。
根據微軟,另一個重要的優先更新是MS10-035,用于Internet Explorer的累積更新。對Windows 2000專業版、Windows XP、Windows Vista和Windows 7來說,此安全更新等級為“嚴重”,它解決了6個漏洞,包括先前公布的安全咨詢980088(一個允許信息泄露的IE漏洞)。微軟表示,還未發現針對此漏洞的任何有效攻擊。
這個月的公告也解決了安全咨詢983438,即解決了Microsoft SharePoint中的提升特權的漏洞。
其中,有7個公告影響Windows,包括一個解決IIS漏洞的安全更新,一個解決IE瀏覽器漏洞的更新,兩個Office相關產品的漏洞更新和一個解決SharePoint服務器漏洞的更新。
其他“重要”的更新
在微軟安全響應中心的博客中,也介紹了其他“重要”的安全更新:
除了MS10-033、MS10-034和MS10-035,本月的其他更新,安全更新等級為“重要”,包括MS10-032,它解決Windows內核模式驅動程序中提升特權的問題。該公告解決了一個潛在的遠程載體,在調用受影響的API時,如果非微軟應用程序無法正確地請求緩沖區的長度,它就會出現。
另一個“重要”安全公告,MS10-036,解決Office應用程序中通過ActiveX進行的攻擊。對于在Windows XP或更新的操作系統上運行Office XP的用戶,可以通過微軟FixIt解決方法工具安裝一個墊片,防止該漏洞影響COM驗證漏洞。
但是,Miller警告說,Office XP仍然容易受攻擊,該解決辦法不能刪除這個漏洞,但能阻止應用程序受感染。“FixIt工具在技術上不是補丁。它和硬化OS一樣,是個緩解方法,你不能通過Windows更新來解決它。它需要在您的網絡中進行人工干預才能解決。” Miller還敦促用戶盡可能升級到Office 2003或2007。
Miller說,在前幾個月因為公告和補丁很少,用戶可能能夠避免部署更新,但今天的多個補丁可能會影響組織的工作站和服務器。如果管理員部署、運行補丁并重新啟動機器,這將會使補丁周期更長。
微軟MVP和IT管理員Susan Bradley,將于下周推出補丁。Bradley對所有的漏洞有其自己的看法,包括那些與Internet Explorer和SharePoint有關的漏洞,但她指出安全公告的特殊挑戰,如MS10-041,它解決.NET框架漏洞。用戶可能在一臺機器上安裝有該框架的多個版本,.NET補丁安裝過程可能會比較漫長。
Bradley說“有時[.NET]補丁卡住,給你一個錯誤信息。然后你就必須將它們全部卸出,重新申請,再安裝。”并且,你還需要另一種工具來卸載和重新安裝該框架。
【編輯推薦】
