微软发布了Windows中修复漏洞以下三个更新。这些更新预计,通过该公司的例行补丁星期二。只有三次更新的一个被标注的关键。本周早些时候请注意,微软接受了批评这组更新不能解决的Excel的漏洞现在,攻击者正在利用。
以下是微软的说明今天的更新:
| Windows内核中的漏洞可能允许远程执行代码(958690) 此安全更新可解决Windows内核中许多秘密报告的漏洞。最严重的漏洞可能允许远程执行代码,如果用户从受影响的系统查看特制的EMF或WMF图像文件。 |
危急 远程执行代码 |
微软Windows |
|
| SChannel中的漏洞可能允许欺骗(960225) 此安全更新解决了安全通道(SChannel)安全数据包中一个秘密报告的漏洞。该漏洞可能允许欺骗如果攻击者能够访问由认证最终用户使用的证书。当已经被攻击者通过其他手段获得用于身份验证的证书的公钥,客户才会受到影响。 |
重要 欺骗 |
微软Windows |
|
| DNS中的漏洞和WINS服务器中的漏洞可能允许欺骗(962238) 此安全更新可解决两个秘密报告的漏洞和Windows DNS服务器中两个公开披露的漏洞和Windows WINS服务器。这些漏洞可能允许远程攻击者将网络流量重定向用于互联网攻击者自己的系统上的系统。 |
重要 欺骗 |
微软Windows |
回顾今天的公告,安全研究员埃里克·舒尔茨的CTO之后的Shavlik技术说,他与微软的关键评级MS09-006同意,但也标注为关键MS09-008补丁,它修复了Windows DNS服务器的一个缺陷。舒尔茨在发给记者的一份书面声明中说:
“MS09-008地址在DNS中的漏洞和WINS服务,可能允许攻击者插入错误的数据为DNS(或WINS)服务器,从而人们的流量重定向到潜在的邪恶网站。此安全公告中没有列出任何变通办法,也不它意味着对攻击者的一部分的任何先决条件,这意味着它可以为远程成为可能,未经认证的攻击者修改一个脆弱的DNS服务器和重定向网站的用户。......如果未经身份验证的远程攻击者可以修改这些指令和重定向人伪造的网站,则DNS服务器没有做的工作......这是一个非常严重的情况。”
至于其它两个更新,MS09-006修复当观看恶意创建图形图像可以被利用的漏洞。舒尔茨说,这个安全漏洞驻留在Windows内核 - 但只能被利用如果攻击者可以获取用户查看畸形的图片(Facebook的人?)。这里的踢球者:
“邪恶的代码会以系统权限执行 - 即使用户没有登录作为管理员以系统权限,邪恶的代码可以访问,复制或删除系统上的任何文件,创建或删除用户帐户,变化。密码,或安装后门。IOW,肮脏的东西“。
MS09-007就是舒尔茨所说的“一个看似无害的欺骗漏洞”,可能允许攻击者没有所需的证书访问站点。大多数用户不使用基于证书的认证安全网站。基于Active Directory的证书存储,使用证书时最常见的,是不受此漏洞的威胁。
访问微软子网的网站更多的新闻,博客,播客。订阅所有Microsoft子网博客。订阅双周微软通讯。(点击新闻/微软新闻快讯。)
SSH的PowerShell为群众 我们的网络:找到Wi-Fi热点,随时随地! Windows 7的Post-Beta版泄露 - 为什么你应该担心 微软秘密测试在Windows的IE卸载选项7 从微软TechFest的最好的小玩意六 读者选择最佳的Windows开源项目 微软放弃百万培训券跟随微软子网的Twitter