微软对IE9和Windows的关键bug进行补丁

修复众多产品中的34个缺陷,包括多个“驱动”漏洞

高级记者,《计算机世界》 |

微软今天修补了Windows、ie、Office和其他软件的34个漏洞,其中15个被公司标记为“严重”。

微软今天修补了Windows、IE、Office和其他软件的34个漏洞,其中15个被公司列为“关键”。

一名专家表示,大量的更新,以及微软比平时晚两个小时发布更新,将给企业管理员带来压力。

Qualys首席技术官沃尔夫冈•坎德克(Wolfgang Kandek)表示:“毫无疑问,IT管理者将不得不挑选首先采取行动的领域。”

在被微软称为公告的16次更新中,有9次被认定为“关键”,即公司四步评分系统中最严重的级别,其余7次被标记为“重要”,即第二危险级别。

而今天补丁的数量明显少于以前4月份创纪录的64微软固定这是今年第二高的数字。这16条公告只比去年4月创下的纪录少了1条。

34个漏洞中有15个被评为危急,17个被评为重要,2个被评为“中等”。

微软挑选了16个更新中的4个作为重点,并敦促客户尽快推出这4个。

“我们的首要任务是MS11-050、MS11-052、MS11-043和MS11-042,”微软安全响应中心(MSRC)的团队经理杰里·布莱恩特(Jerry Bryant)在今天早些时候接受采访时说。科比的顺序列出了四个优先级。

在立即部署的公告中,ms11 - 050为IE提供了11个补丁,微软和独立专家将这些补丁列在了他们的列表之首。

“这一个是在列表的顶部,因为它总是当微软补丁即“Andrew风暴,说安全行动主任nCircle安全。“但这也是IE9的第一次更新,看起来微软在发布IE9时或几天后确实存在这个缺陷。”

风暴指的是微软的测试过程,这个过程通常会持续两个月甚至更长时间。按照这个时间表,IE9将无法在4月份发布补丁,这是该浏览器发布后计划的第一次更新。

微软习惯在偶数个月给IE打补丁;最近一次发布浏览器安全更新是在4月份,当时它修复了5个漏洞。不过,今天发布的是微软在3月中旬发布的IE9浏览器的第一个关键更新。微软说,MS11-050的11个补丁中有4个影响了IE9。

微软今天修补的IE 11个漏洞中有9个可能被攻击者利用,他们通过“驱动式”攻击,要求用户访问恶意网站。

ms11 - 052也即影响,尽管微软标记它作为Windows更新。

布莱恩特说:“Windows存在漏洞,但攻击的载体是Internet Explorer。”但是IE9不受这次更新的影响。[这个问题]在IE9发布之前就已经解决了…所以这是我们向客户传达的‘更新就是更好’信息的一部分。”Bryant补充道。

只有IE6, IE7和IE8可以用来利用的漏洞修补ms11 - 052,不是竞争对手的浏览器,科比确认。

今天科比也说了11-043和11-042。前者是对Windows如何处理SMB(服务器消息块)协议的一个漏洞进行补丁,可以用于Bryant所说的“浏览器和自己”攻击。

Bryant和Storms说,好的一面是,许多公司已经在防火墙上阻止了对外的SMB流量,这将防止漏洞的利用ms11 - 043

“我认为这在现实世界中可能很难利用,”Storms说。

ms11 - 042更新DFS(分布式文件服务),这是使用的管理员组共享文件夹位于不同的服务器,补丁的bug——一个关键的另一个重要的窗口。微软仅在Windows XP和Windows Server 2003上将该缺陷列为严重缺陷。

“[MS11-042和MS11-043]很有趣,但我认为它们在技术上对攻击者更具挑战性,”坎德克说。

事实上,Kandek评分ms11 - 045这款电子表格包含在Windows和Mac系统上的Microsoft Office中,是今天系列中第二重要的,仅次于面向ie的MS11-050/MS11-052组合。

“微软排名作为“重要”,因为用户只需要打开一个attacker-provided文件,但我们相信攻击者经常显示他们有能力让打开文件吸引用户,“说有作用。

“如果我是攻击者,我肯定会使用这个,因为用户倾向于信任Excel文件,”Kandek补充道。

在Excel更新中修补的八个漏洞中,只有一个影响了较新的版本,即Windows上的Excel 2007和Excel 2010;其中两个影响了Mac上的Excel 2011。

“很明显,更新的Office软件更好、更安全,”Storms说。

微软今天还发布了SQL Server的更新,它的2010安全产品,. net框架和Silverlight开发平台,以及Windows Server 2008和Server 2008 R2中包含的虚拟化hypervisor。

6月的安全更新可以通过微软的更新和下载并安装Windows更新服务,以及通过Windows服务器更新服务(威诺娜州立大学)。

Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com

阅读更多有关安全的内容在计算机世界的安全主题中心。

这个故事,“微软修补关键IE9, Windows bug”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

高级记者Gregg Keizer为计算机世界报道Windows, Office, Apple/enterprise,网络浏览器和网络应用。

版权©2011Raybet2

工资调查:结果在