Microsoft今天在Windows和Office中修改了五个漏洞,包括一个臭虫黑客一直在利用近一个月。
正如预期的那样,今天的补丁板岩很短:只需四个安全更新,包括五个单独的缺陷的修复。在四个更新中,三个被评为“至关重要”,是微软四步评分系统中的最高威胁排名。今天修补的所有特定漏洞也是至关重要的。
两个公告受影响窗口,而剩余的一对受影响的办公室。公告四重奏中的五个漏洞中的四个由微软挂钩,利用性指数得分为“1”,这意味着该公司预计未来30天内的攻击。
但几乎没有什么意外。上周微软透露,这两个Windows更新将会地址已确认错误在Windows XP和Windows 7的.
这对最突出的是ms10 - 042该更新,在Windows XP的帮助和支持中心中解决了漏洞,这是一个允许用户从Web访问和下载Microsoft帮助文件的功能,并可以由支持技术人员在本地PC上启动远程支持工具。
六月初,Tavis Ormandy,一个在谷歌那发布攻击代码该漏洞也影响了Windows Server 2003,并立即引发了一场激烈的辩论。虽然一些安全研究人员批评奥曼迪公开漏洞,但也有人站出来为他辩护,抨击微软和媒体——包括《计算机世界》——把奥曼迪和他的雇主联系起来。
奥曼迪在向上级报告后5天就透露了这个漏洞微软在他说公司不会在最后期限前完成补丁之后。微软对此表示异议,声称它只是告诉奥曼迪它需要这周的剩余时间来决定。
用户和IT管理员应尽快应用MS10-042补丁,同意几个研究人员。“这是积极利用XP Desktop系统的积极利用,”Shavlik Technologies的数据和安全团队经理Jason Miller表示。米勒还指出,Windows XP仍然是消费者和商业个人电脑上最受欢迎的Windows版本,这是Microsoft本身昨天强调的事实,当时一家公司高管表示XP占所有公司机器的74%。
“我印象深刻的是,微软能够尽快做到这一点,”米勒说。“有些虫子在那里几个月徘徊。”
微软首次被告知6月5日的帮助和支持中心缺陷,并确认到6月15日,攻击正在利用这些错误。
其他的Windows更新,ms10 - 043,修补64位版本的Windows 7和Windows Server 2008 R2中的单个错误。微软确认了漏洞在5月份与安全咨询中,那么缺陷在Windows'规范显示驱动程序中,它将操作系统的主图形界面混合,称为图形设备接口(GDI)和DirectX以构图撰写桌面。
当时,Microsoft告诉用户禁用Aero接口,这是默认情况下的所有,但最小昂贵的Windows 7. Aero是Windows Server 2008 R2上的可选安装。
nCircle的安全与研发主管奥利弗•莱弗里(Oliver Lavery)表示,Windows 7的漏洞是由于微软在将相关代码从32位Windows版本移植到64位Windows 7时出现的编程错误。
另一对更新在Access中固定漏洞,数据库包含在某些版本的Office,以及Outlook,Microsoft的业务电子邮件客户端。
其中最让人感兴趣的是Qualys脆弱性研究主管里奇·赖(Richie Lai)。是ms10 - 045.“漏洞破坏了Outlook的安全模型,因为攻击者可以使任何文件类型看起来像任何其他文件类型,”Lai说。“这是可怕的,因为它使所有危险的附件都危险,而不仅仅是那些人谨慎的文件类型。”
黑客可以伪装攻击代码,如图.txt,.pdf或.jpg文件类型,lai继续,更轻松地欺骗用户打开和启动恶意软件。“大多数人都会在没有思考两次思考的那些档案中,”莱说。“它绕过了通常显示的所有提示,”他添加了,这是指Outlook通常在单击潜在的危险文件类型时显示的警告。
其他一些人,包括Shavlik的米勒和nCircle的Lavery,都赞同赖对于Outlook漏洞的看法。“这个很有趣,因为它绕过了安全警告,”拉威利说。“攻击者将不得不将他们的恶意代码托管在自己的服务器上,所以这不是直接攻击,但这肯定是(Outlook的)警告机制中的一个缺陷。”
根据微软的说法,目前所有支持的Outlook版本,除了Outlook 2010,都包含这个漏洞,必须打补丁。
第四次更新,ms10 - 044,解决了两个错误 - 一个额定关键的另一个排名排名“重要”,下一个威胁下降 - 在访问中使用的ActiveX控件中。
“真的有点令人震惊,”Ncircle的Lavery说。“ActiveX实际上是一项死亡技术,但人们仍在找到它的漏洞。我一直在做这件事10年,甚至现在,微软没有设法杀掉所有的错误。这只是愚蠢。”
由于微软现在船舶交替的大而小批次的修复程序,具有更大的更新在均匀的月份登陆,研究人员希望下个月的补丁数将相当大。Microsoft将于8月10日递送其下一个Slates。
本月的安全更新可以通过Microsoft update和Windows update服务以及Windows Server update服务下载和安装。
格雷格·凯泽为《计算机世界》报道了微软、安全问题、苹果、网络浏览器和通用技术突发新闻。在Twitter上关注Gregg@gkeizer或订阅格雷格的RSS饲料.他的电子邮件地址是gkeizer@ix.netcom.com..
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事,“微软修补了Windows的关键漏洞,Office”最初是由Computerworld. .