微软今天表示,下周将发布四个安全更新,以修补Windows中的四个漏洞。
关键漏洞仅影响Windows Vista,Windows 7,Server 2008和Server 2008 R2,Microsoft在其月度高级警告补丁星期二的名册。
除了一次关键更新(微软最严肃的威胁排名)外,下周的系列还包括两个固定的“重要”,“重要”标签,还有一个标记为“中度”。其中两个更新 - 关键和一个标记重要的更新 - 将修补攻击者可以利用执行恶意代码并可能指挥计算机的漏洞。
但是,Microsoft似乎并没有在下周修复最近浏览的关键Windows内核错误。未点缀或“零日”漏洞已经由杜克·特洛伊(Duqu Trojan)剥削几个月。赛门铁克透露但未详细描述本周早些时候的内核错误。
微软应在周四晚些时候发布有关内核漏洞的安全咨询。
虽然十年历史的Windows XP不需要唯一的关键更新,但它将由其中一个重要的漏洞进行修补。
但是,Windows 7用户将收到所有四个更新(包括关键补丁),Vista所有者将看到三个更新。
Ncircle Security在使用即时消息进行采访时,NCIRCLE Security的安全运营总监Andrew Storms说:“本月颠倒了。”“新操作系统比较旧的操作系统更受影响。”
正如微软喜欢指出的那样,这是不寻常的:从历史上看,发现了更多的漏洞,并且为较旧版本而发布的较旧版本发布的补丁。
其他研究人员注意到相同的特殊性。
“有趣的是,大多数公告仅适用于这些较新版本的Windows,而XP和Server 2003用户仅受公告3的影响,这很重要,” Qualys的首席技术官Wolfgang Kandek今天在一封电子邮件中说。。
少量的补丁并不是出乎意料的,因为微软一直习惯于在奇数月份运送更少的更新。但是暴风雨说,这批次甚至比平常更轻。
风暴说:“这比去年和2009年的11月低。”“ 2010年11月,微软发布了三个公告和[修补] 13个CVE,并在2009年11月有6个公告,有15个CVE。”
CVE对于常见的漏洞和披露,是供应商和安全研究人员用来标记每个特定缺陷的标识符。
下周预计的更新量很少,研究人员专注于杜克(Duqu)利用的内核脆弱性。
Storms说:“我认为我们都在等待的真正新闻是Duqu脆弱性将会发生的事情。”以前,风暴预测微软会不要急于解决对于下周收藏的错误。
Rapid7的安全研究人员Marcus Carey敦促企业耐心。
凯里说:“我建议客户等待Microsoft的官方指导,补丁和其他缓解策略。”“在这样的时代,许多组织很容易感到恐慌,并且可能会因担心零日而受到社会工程攻击的受害者。”
这四个更新将在下午1点左右发布。美国东部时间于11月8日。
Gregg Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和通用技术的计算机世界新闻。在Twitter上关注Gregg@gkeizer, 上Google+或订阅Gregg的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
阅读有关安全性的更多信息在计算机世界的安全主题中心。
这个故事是“下周倒置'更新'更新中的Microsoft tor Microsoft,最初由计算机世界 。