微软今天宣布,下周将发布14个安全公告,修补Windows、IE、Office和Windows Media Player的20个漏洞。
补丁中可能的插头使用的洞Duqu情报收集木马和修复SSL(安全套接字层)3.0和TLS(传输层安全)1.0 bug推广三个月前的野兽,在“浏览器利用SSL / TLS,”黑客工具,安全专家说。
nCircle security的安全运营总监安德鲁·斯道姆(Andrew Storms)在描述准备打补丁的各种微软产品时说:“它们遍布各地。”“这看起来像是一次大扫除,他们正试图在年底前尽可能多地从自己的盘子里拿东西。”
在14次更新中,有3次被贴上了微软的“关键”标签,这是微软四步系统中威胁排名最高的一次,而其余11次被贴上了“重要”标签,排名第二。
微软在每个周二补丁发布前的每月提前通知中说,攻击者可能利用其中10个补丁更新中的漏洞,在未打补丁的电脑上远程植入攻击代码。其中一些公告被认为是重要的,这是微软在错误不易被利用时采取的行动,因为相关组件没有默认打开,或者因为像ASLR和DEP这样的防御技术有助于保护用户。
storm指出IE的更新是用户应该尽快申请的,这是他和其他微软以外的研究人员在微软给浏览器打补丁时经常给出的建议。
Storms说:“有点奇怪的是,由于每隔一个月(即补丁)周期,大多数人本月都在网上购物,很少有人会抽出时间来修补。”。
尽管微软已经进入了IE一年6次的补丁周期,但Storms质疑,等到在线消费狂潮来修复浏览器缺陷是否明智。
“正如我们所知,一旦补丁发布,寻找漏洞的时间就越来越短了,”Storms说。“为什么不把IE更新推迟一个月到11月呢?”
Rapid7的安全研究员马库斯·凯里(Marcus Carey)说,这个只被标记为“公告1”的关键更新也应该立即打补丁。
Carey将受Bulletin 1影响的Windows版本与一个多月前在Microsoft安全咨询中发布的版本进行了关联,并得出结论,该更新将修补该问题Duqu利用的漏洞,一些反病毒公司称之为下一个Stuxnet的可能前身去年被破坏的那种超级复杂的蠕虫病毒伊朗的核燃料浓缩计划.
“我认为这是Duqu零日补丁的主要原因是[公告1]需要重启,这表明正在修补的是一个内核级别的bug,它影响的操作系统与[11月]的建议相同,”凯里在一封电子邮件中说。
storm还预计微软将修补TrueType解析引擎的漏洞,微软将其识别为Duqu在其攻击中所利用的漏洞,Duqu的攻击始于几个月前,直到10月才停止。
“他们在年底前不修补都曲是愚蠢的,”斯托斯说。“他们有足够的时间。”
上个月,微软表示正在开发Duqu的漏洞补丁,但承认无法在11月发布补丁。
Storms还将寻找一个更新,以解决Windows中SSL 3.0和TSL 1.0中长期存在的问题。微软发布了一份安全建议今年9月,两名研究人员设计了BEAST,这是对这个多年来存在的缺陷的首次实际利用。
下周将有14次更新,比2010年12月的17次和2011年4月重复的记录少了3次。
今年的公告总数(减少100个,或5.6%)也比2010年有所下降,在这些更新中修补的漏洞总数为237个,比去年创纪录的266个减少了10.7%。
微软安全响应中心(MSRC)主任Mike Reavey将在下周的Patch Tuesday视频发布会上讨论今年的公告,但storm预计Reavey不会关注具体数字。
斯道姆说:“我认为他们会讨论漏洞的严重性是如何降低的。“与前一年相比,重症病例似乎确实减少了。”
斯道姆还指出,微软一整年都没有发布过紧急更新,也没有发布过“非周期”更新,而在2010年却发布了几次。
微软将在美国东部时间12月13日下午1点左右发布14个更新。
格雷格·凯泽(Gregg Keizer)报道了微软、安全问题、苹果、网络浏览器和Computerworld的一般技术突发新闻。在Twitter上关注格雷格@吉泽尔,在谷歌+或订阅格雷格的RSS提要. 他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
了解更多关于这个主题的信息
这篇文章,“微软计划下周发布20个补丁,可能会修复Duqu和BEAST的bug”,最初是由《计算机世界》 .