微软今天发布了13个安全更新,比预期少了一个,修补了Windows、Internet explorer、Office和Windows Media Player的19个漏洞。
微软今天发布了13个安全更新,比预期少了一个,修补了Windows、IE (Internet Explorer)、Office和Windows Media Player的19个漏洞。
在SAP告诉该公司补丁破坏了其部分软件后,该公司取消了原定于今天发布的公告。
微软“值得信赖的计算”团队经理Jerry Bryant在一份声明中说:“由于第三方应用程序兼容性问题,本计划解决2588513安全顾问问题的公告被推迟,我们将与供应商直接合作解决这个问题。”
被清除的安全更新是修复SSL(安全套接字层)3.0和TLS(传输层安全)1.0bug演示于2011年9月研究人员开发了一种名为BEAST的黑客工具,用于“浏览器攻击SSL/TLS”。
SAP,一家创建企业业务运营和管理软件的德国开发公司,是报告兼容性问题的第三方供应商。微软补充说,它宁愿撤下公告,也不愿“发布一些可能给客户带来不便的东西”。
不过,微软确实修补了Duqu情报收集木马所利用的漏洞;这一缺陷曾是该公司在11月初发布的一份咨询报告的主题可能是下一个Stuxnet病毒的先驱这种超级复杂的蠕虫破坏了伊朗的核计划在2010年。
这一更新——微软称之为“公告”——是该公司三大“关键”威胁之一,这是该公司的最高威胁排名。剩下的10个被贴上“重要”的标签,是倒数第二低的评分。
微软要求用户首先申请Duqu的MS11-087和MS11-092。后者会影响微软的音频视频内容工具Windows Media Player。
一些安全专家同意微软的评估ms11 - 087.
nCircle security的安全运营主管安德鲁•斯道姆(Andrew Storms)表示:“Duqu肯定是头号攻击目标,尽管这是一次非常有针对性的攻击。”
Qualys的首席技术官Wolfgang Kandek说:“现在他们已经修补了这个漏洞,我们将会有很多人对这个补丁进行逆向工程,将一个飞车攻击变成武器。”
今年秋天发现的Duqu攻击依赖于以电子邮件附件的形式提供给受害者的恶意Word文档。但是今天微软承认潜在的漏洞也可能被基于浏览器的攻击所利用。
在微软的一个帖子中安全与国防研究微软安全响应中心的工程师朱成云(Chengyun Chu)和乔纳森·尼斯(Jonathan Ness)在博客中指出,IE存在一种“基于浏览器的攻击向量”,目前尚未披露。
VMware研发团队的杰森•米勒(Jason Miller)警告称,其他浏览器也可能容易受到此类攻击。出于这个原因和其他原因,米勒预计黑客会急切地挖掘Duqu的修复。
“微软深入挖掘了这个漏洞,发现了比Word更多的攻击载体,因为他们知道源代码,”米勒说,并赞扬了微软的工作。“但如果我是一个攻击者,并且我知道Duqu是有效的,我就会调查它是否会影响多个浏览器。这将给我一个更大的攻击载体。”
微软发布在补丁清单上的另一个公告是MS11-092,它修复了Windows Media Player的一个严重错误。
斯道姆和坎德克呼应了微软的立场。
“Windows Media Player的[漏洞]是一个很容易被忽视的漏洞,”斯道姆说,他指的是只要用户将浏览器导向含有恶意内容的网站就能成功的攻击。
但米勒不同意。“(包含漏洞的)文件扩展名并不常见,”米勒说。“我估计它会被大多数机器的防火墙屏蔽掉。”
相反,米勒认为IE的MS11-099是必须的,这是一个包含三个补丁的更新,尽管微软认为它很重要,这与浏览器更新通常获得的关键排名有所不同。“任何IE漏洞都让我害怕,因为浏览器是最常用的攻击载体,”Miller说。
但Storms和Kandek都淡化了立即应用IE补丁的必要性。
“这可能是唯一一次IE更新没有被评为关键,”Storms说。“但不存在可被远程代码利用的内存破坏漏洞,所以我们不会看到一个关键版本。”
其中两个IE漏洞被标记为信息泄露漏洞,而第三个漏洞则属于“DLL加载劫持”分类下的一系列漏洞。
DLL加载劫持,有时被称为“二进制预加载”,描述了一种可以通过欺骗应用程序加载与所需动态链接库(DLL)同名的恶意文件来利用的错误。微软今天修补了两个DLL加载劫持错误——另一个是在Windows上的PowerPoint 2007和2010,Mac上的PowerPoint 2008——自2010年11月以来,已经发布了20次装载劫持相关的更新。
其他的公告引起了一些专家的注意,但不是全部。
例如,Kandek标记ms11 - 089这是Windows上的Word 2007和2010,Mac上的Word 2011的一个补丁更新。
“修补Office漏洞总是很重要的,即使一个漏洞需要用户打开一个文件来触发它,”Kandek说。“用户打开Word文档是很常见的,”他说,并举了几个有针对性的攻击的例子,包括3月份对RSA Security的黑客攻击,以及始于去年春天的Duqu攻击,后者通过在用户面前悬挂恶意的Word或Excel文件而获得成功。
MS11-089中的补丁是微软对.docx文件格式的第一个补丁,这种基于xml的文件格式是微软于2006年底在Office 2007中首次使用的。
微软还修补了从Publisher程序到Active Directory等其他软件和Windows组件的漏洞。
不出所料,这三位研究人员都对微软在最后一刻撤掉与beast相关的补丁发表了评论。“风暴”对这一举措最为积极。
斯道姆说:“如果没有别的事情,这就意味着他们正在进行广泛的测试。”“他们过去一直因发行周期过长而受到批评,但在未来他们可能会指出这一点,并说,‘嘿,看,这很管用。’”
storm说,虽然微软并没有公开这一做法,但微软让像SAP这样的主要第三方供应商提前看到更新并不完全令人意外。
storm指出:“可以肯定的是,有一部分供应商很早就拿到了补丁,尽管他们不愿透露是谁。”“但他们最好尽早将产品发布给有自己实验室进行测试的供应商。”
除了MS11-088之外,12月份的安全补丁可以通过Microsoft Update和Windows Update服务以及Windows Server Update services下载和安装。
MS11-088更新仅影响Word 2010的中国用户,目前只能从微软下载中心手动下载。微软在附带的漏洞报告中表示:“一旦测试完成,我们还将通过其他标准分发方法提供更新,以确保通过这些渠道分发能够成功。”
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“微软在最后一刻刮掉了BEAST补丁,但修复了Duqu bug”,最初是由《计算机世界》 .