微软警告客户,在未来30天内,可能会有创纪录数量的刚刚修补过的漏洞被利用。
微软周二警告客户,在未来30天内,可能会有创纪录数量的刚刚修补过的漏洞被利用。
其中35个漏洞微软这个月已经修补了,它给32分一个可利用性等级,这个分数量化了公司对是否会出现可靠的攻击代码的看法。在32个漏洞中,创纪录的18个被评为“1”,按照微软的方法论,这意味着它预计未来一个月会有可靠的漏洞代码。
微软在周二发布的14个安全更新中,有9个的可利用性评级为“1”。
微软安全响应中心(MSRC)的工程师已发布表星期二,这说明了他们对剥削的可能性。据MSRC称,在接下来的30天内,8个安全更新中有5个被标记为“关键”,6个被标记为“重要”的更新中有4个可能会出现漏洞代码。
微软还预计,在剩下的一对重要更新中,将发布漏洞利用概念验证代码(通常需要先进行演示,然后才能可靠地在野外使用)。
NCIRCLESecurity安全运营总监Andrew Storms称,8月份的可利用性指数创下了纪录,超过了2010年6月的17个漏洞,指数评级为“1”
Storms的数据显示,2010年2月和3月各有12个漏洞,可利用性指数为“1”,而2009年6月则有14个。
安全研究人员昨日基本同意微软的观点,即对于应用补丁速度较慢的用户来说,未来一个月可能会很艰难。Computerworld联系的大多数人认为,周二修补的几个漏洞将很快出现漏洞,其中包括一对与媒体相关的漏洞,Office2007中的几个,InternetExplorer中的六个,以及微软对Adobe Flash的回应Silverlight中的另一对。
Qualys的首席技术官Wolfgang Kandek昨日表示,Windows Movie Maker中的一个漏洞也可能很快会被利用,该软件与Windows XP和Vista一起提供,但从Windows 7中被丢弃。
微软所有这些漏洞的可利用性指数均为“1”。
Rapid7的安全研究员Josh Abraham说:“这些漏洞很可能会在Metasploit这样的框架中被武器化。”Rapid7也是一家管理开源Metasploit黑客工具包的公司。Metasploit经常发布对Microsoft漏洞的第一次公开攻击。
亚伯拉罕补充说:“但是人们不应该惊慌失措。”攻击者的缺点是,这些漏洞中的大多数都需要用户交互。”。
然而,在漏洞肆虐之前进行修补是至关重要的。补丁管理供应商shavliktechnologies的数据和安全团队经理jasonmiller说,用户的时间已经从周二开始了。
米勒说:“你不想输掉这场比赛。
Gregg Keizer报道了微软、安全问题、苹果、网络浏览器和Computerworld的一般技术新闻。在Twitter上关注Gregg@格凯泽或订阅格雷格的RSS源. 他的电子邮件地址是gkeizer@ix.netcom.com.
阅读有关安全性的更多信息在计算机世界的安全主题中心。
这篇题为《微软30天预测:预期的风暴攻击》的文章最初由计算机世界 .