本周二微軟發(fā)布了兩個安全公告，修補了兩個會影響所有版本W(wǎng)indows的關(guān)鍵漏洞。同時，微軟還更新了一個安全公告，發(fā)布了一個臨時自動化的解決方案，部署該方案將阻止攻擊者利用IE零日漏洞。

目前為止，在一月份微軟只發(fā)布了兩個安全公告，用以修復(fù)微軟Windows和Windows服務(wù)器中的三個漏洞。與去年破紀(jì)錄發(fā)布17個公告的12月份相比，一月份顯得很平靜。

第一個安全公告解決了微軟系統(tǒng)數(shù)據(jù)訪問組件

（Microsoft Data Access Components，一個應(yīng)用程序開發(fā)人員用于訪問Windows數(shù)據(jù)存儲的框架）中的兩個關(guān)鍵漏洞。這些漏洞可被用于駕車襲擊（drive-by attacks）或者誘騙人們?nèi)ピL問一個惡意網(wǎng)頁。這次更新的等級對Windows XP，Vista和Windows 7為非常重要，對Windows Server 2003和Windows Server 2008為重要。

此外，微軟還解決了一個Windows備份管理器（Windows Backup Manager）中的漏洞。該安全公告會影響Windows Vista的用戶，對Windows Vista的等級為重要。該漏洞可能允許遠(yuǎn)程代碼執(zhí)行，不過微軟表示，只有在用戶訪問一個遠(yuǎn)程文件系統(tǒng)位置或WebDAV共享，且打開一份Windows備份管理器文件時才會發(fā)生。

微軟還更新了一個安全公告，解決了IE層疊樣式表（CSS）功能中的一個內(nèi)存錯誤。微軟表示，該內(nèi)存錯誤可被攻擊者用于遠(yuǎn)程執(zhí)行惡意軟件。

微軟增加了一個自動修復(fù)臨時補丁，防止CSS樣式表的重復(fù)加載。微軟工程師Kevin Brown在微軟安全研究與防御（Microsoft Security Research and Defense）博客中寫道，解決方案是一個MSI包，它使用Windows應(yīng)用程序兼容性工具包對控制IE中加載的CSS的DLL做出小改動。

位于明尼蘇達(dá)州St. Paul的補丁管理公司——Shavlik Technologies有限責(zé)任公司的數(shù)據(jù)和安全團隊領(lǐng)導(dǎo)者Jason Miller，鼓勵管理員密切關(guān)注可暫時解決漏洞的可行方法。不過他表示，臨時修復(fù)可能引起IE網(wǎng)頁不正確的顯示。

“這是一個攻擊者經(jīng)常喜歡利用的漏洞，所以它有一定的風(fēng)險，”Miller說道，“在你部署解決方案前，你需要測試你的系統(tǒng)可以做些什么?！?/p>

用戶可以在Windows Vista和Windows 7中使用保護模式，在Windows Server 2003和2008中使用增強型安全配置（Enhanced Security Configuration）。更先進的用戶可以使用加強緩解體驗工具包（Enhanced Mitigation Experience Toolkit）作為該漏洞的解決方案。

工程師們同時還在努力修復(fù)其他幾個已知的Microsoft零日漏洞。一個是Windows圖形繪制引擎中引起不正確解析BMP縮略圖的漏洞。該漏洞會影響除Windows 7和Windows Server 2008 R2外所有版本的Windows。該安全公告包括一個解決方案和一個臨時解決該漏洞的自動修復(fù)。

其他零日漏洞包括一個IIS 7.0和7.5 FTP服務(wù)漏洞，幾個其他IE中的內(nèi)存錯誤漏洞和WMI管理工具包中的ActiveX控件漏洞。