在2012年5月的周二補丁日微軟發布了一個綜合的更新文件來修補與Duqu惡意軟件有關的字體解析代碼漏洞，解決了在Office產品、Windows系統和.NET框架中的一些嚴重缺陷。這個軟件巨人發布了7個安全公告、其中3個評級為“嚴重”，共修補產品線的23個漏洞。

自從去年11月以來這是微軟第2次更新受Duqu木馬影響的軟件。自從去年10月以來安全研究人員一直在研究Duqu木馬，初步的研究發現它與臭名昭著的Stuxnet蠕蟲有著類似的代碼。不過不像Stuxnet蠕蟲那樣，Duqu木馬不是用來干擾關鍵的進程。相反，它悄悄地收集廠商工業系統的信息。MS11-087安全公告解決了被Duqu木馬利用的Office文檔攻擊途徑。而且在一篇博客中，微軟的工程師Jonathan Ness表示在其它的產品也發現同樣的代碼用于自定義字體，包括第三方的瀏覽器。Ness強調Duqu木馬的攻擊目標不是安全公告MS12-034解決的那些軟件缺陷。

今天發布的MS12-034作為修復Duqu漏洞的一部分，修補了在Windows Journal Viewer、Silverlight和.NET Framework框架中的10個漏洞。通過將Windows Vista中使用的安全功能添加到Windows XP和Windows Server 2003中，該補丁還解決了某個惡意的鍵盤布局文件攻擊。

VMware公司的研發經理、漏洞專家Jason Miller表示，由于該漏洞的重量性、以及通過簡單的路過式攻擊就可以觸發它，該安全公告極其重要。

“在這個公告中涵蓋了你已經擁有的、許多不同類型的操作系統以及不同的產品。它將會觸及到網絡的許多不同的組件”，Miller說道。此外，他談到這些漏洞中的3個已經被公開，所以給必要的系統安裝補丁尤為重要。

據Miller表示該補丁安裝過程需要安全專家許多耐心，安全從業人員應該“反復地檢查報告，并且回到他們的系統，確保安裝了每個補丁。該安全公告包括30個多個補丁”，可能除了Silverlight沒有被廣泛地使用以外，每個補丁都同等地重要。

“嚴重”的微軟Office漏洞

安全公告MS12-029的等級也是“嚴重”，它解決了Office的一個漏洞。由于Office讀取RTF文檔方式的某個缺陷使得攻擊者可以遠程執行代碼。

位于加利福尼亞紅木海岸的漏洞管理廠商、Qualys有限公司的CTO Wolfgang Kandek也表示應該優先考慮安全公告MS12-029，因為該漏洞可以被簡單地觸發。

“最關鍵的問題是，在平常的Office產品漏洞中你總是必須打開某個文件才能觸發漏洞。而它，你只需要在Outlook中預覽消息就能觸發它”，Kandek談道。打開郵件附件中的惡意RTF文件，或者是訪問被入侵的web站點也能觸發該漏洞。

這個Office的漏洞是危險的，盡管在它們到達用戶的收件箱前，通常有過濾器攔截這些惡意文件。RTF文件是十分常見的，很可能被允許通過，Miller表示。成功的攻擊能讓攻擊者完全控制受到影響的系統。

#p#

“一個RTF文檔將會釋放負載數據。在大多數情況下你不會收到某些類型的文件或是附件，但是RTF文檔是常見的，可能會通過檢查”，Miller表示。

微軟建議用戶為他們的word 2003和2007產品，Mac平臺的Office 2008 和2011產品，以及Office兼容包的所有支持版本安裝更新文件。該更新文件解決了在MS12-030安全公告牌中發現的同樣漏洞，并且會重新配置Office產品解析RTF格式數據的方式。

微軟的第3個安全公告等級為“嚴重”，它修補了在.NET框架中的2個漏洞。微軟表示，MS12-035安全公告解決的漏洞可以被攻擊者遠程利用，假設用戶訪問了惡意的web站點。受害者必須使用能夠運行XAML瀏覽器應用(XAML Browser Applications，簡稱XBAP)的web瀏覽器。

在這個安全公告牌中解決的漏洞都涉及到.NET框架所有支持版本的序列化(serialization)過程。當.NET框架錯誤地把不可信數據當作可信數據對待時，會導致CVE-2012-0160編號的漏洞。當.NET框架在處理過程中處理異常情況時，會造成CVE-2012-0161編號的漏洞。

在這兩種情況下，Windows的.NET應用可能被用于繞過代碼訪問安全限制。此外，微軟表示包含專門構造的XBAP的web站點可以利用這個漏洞，如果攻擊者能夠讓用戶訪問這個站點的話。

Kandek建議安裝該補丁文件，但是另一個避免這個漏洞的方法是如果不使用的話就關閉英特網的XBAP功能。“如果你不需要的話，禁用它。這樣你會得到一個更為強健的配置”，他說道。

2012年5月的周二補丁日： “重要”的安全公告

5月的更新文件也包括4個評級為“重要”的更新文件。它們解決了Office和Windows系統中的編碼錯誤，這些錯誤而會允許遠程執行代碼和擴大權限。這兩個Windows更新要求重啟，然而其余5個可能需要重啟。

MS12-030 安全公告解決了一個公開的、以及五個私下報告的Office漏洞，如果用戶打開某個專門構造的Office文件，這些漏洞會允許攻擊者遠程執行代碼。微軟建議為所有支持版本的產品安裝補丁，包括Excel 2003、2007和2010、Office2007和2010、Mac平臺的Office 2008和2011，以及Excel Viewer和Office兼容包。

MS12-032安全公告解決的Visio Viewer 2010漏洞可以允許遠程執行代碼，假設用戶打開了某個專門構造的Visio文件。據微軟表示，“當Visio處理專門構造的Visio文件在驗證屬性時，可以執行遠程代碼漏洞”，該漏洞在所有支持版本的Visio Viewer 2010產品中都有。

對于所有支持版本的Windows Vista、Server 2008、Windows 7以及Server 2008 R2來說MS12-032安全公告被評級為“重要”。它修改了Windows防火墻處理向外廣播數據包的方式、以及Windows系統的TCP/IP協議棧處理綁定IPv6地址到本地接口的方式，以便防止權限提升。

最后一個安全公告MS12-03解決了在Windows Partition Manager產品中的漏洞，在所有支持版本的Windows Vista、Windows 7 、Server 2008以及2008 R2系統上該漏洞也允許權限提升。該補丁糾正了Windows Partition Manager在內存中分配對象的方式。