微软今天发表在Windows的几个关键组件修补漏洞19九个安全更新,以及在Windows Media Player,Outlook Express中,IIS(因特网信息服务器),Office和其他几款产品。
安全研究人员盯住周二批次为和更新的“大杂烩”,“所有的地图上”。
包括在今天的补丁是五个塞孔,从一个bug的代码“图书馆”,被称为ATL(活动模板库)继承了微软自己的软件,该公司和其他依靠创造他们的节目。
“这肯定是一个大杂烩,”安德鲁说风暴,nCircle公司在网络安全的安全运营总监说。“有这个月没有真正的模式,我可以骂它大杂烩。”
“这是一个杂乱的东西一大堆,”埃里克·舒尔茨,在Shavlik公司技术首席技术官说。“一切都将受到影响,除了IE浏览器。”
乔希亚伯拉罕,在Rapid7安全研究员,同意了。“有一吨的东西到处地图在这里。”
更新的五人挂为“关键”,最严重的微软的四步计分制排名,而4被标记为“重要”,接下来的评级下降。
大故事今天,同意安全专家,为MS09-037,即固定5个漏洞引起的ATL漏洞微软的几个国产Windows组件更新。
“这个人是很可怕,”亚伯拉罕说,指的是ATL更新。
舒尔茨,谁称ATL修复“整体一把,”也是在今天的名单排首位MS09-037。“有五个个人控制五个单独的补丁,在不同[微软]软件的每个使用。这是很好的,微软的补丁这一点,但它会成为人们补丁真的很难。”
风暴,然而,是由少数ATL相关的补丁感到惊讶。“我们预计ATL修补程序的转换,”他说,“虽然我们只得到了五位。但我预计我们将看到微软越来越多的ATL漏洞在未来几个月内。”
舒尔茨,谁曾经在微软工作过,说他已被告知由源公司内部的一个仍然公开调查外,今天的补丁修补所有ATL相关的漏洞在软件附带作为Windows的一部分。“他们可能有它舔,”他说,但警告称,微软还没有挖掘到其他ActiveX控件它的制作是不发货“盒子”,或来操作系统的安装光盘上。
在ATL漏洞进行了介绍,当微软程序员添加一个额外的“&”字符目前广泛使用的库。
两个星期前,微软冲向一对紧急更新到插在IE浏览器和Visual Studio多个孔的用户。这些漏洞被追踪到ATL。
另一个备受瞩目的更新MS09-043,该补丁的Office Web Components(OWC),一组让用户发布的Word,Excel和PowerPoint文档在网络上的ActiveX控件的四个关键弱点,然后的Internet Explorer(IE)中查看。
上个月,攻击微软警告用户利用该ActiveX控件显示Excel电子表格中的IE浏览器,但该公司无法修补它及时满足七月更新时间表。安全专家曾预测微软今天会修复这个安全漏洞。
用户应立即修补漏洞OWC,亚伯拉罕认为。“任何事情,这样,一个已经变成了Metasploit的模块和武器化应进行修补,尽快,”他说,讲的是流行的渗透测试框架,无论黑客和合法的安全研究人员依靠开发漏洞。
谢尔顿马尔默,Rapid7安全战略的高级主管,敦促Windows用户把目光MS09-037和MS09-043,他认为今天会获得最受媒体关注的两个更新。他,以及舒尔茨,单挑其他两个公告 -MS09-039和MS09-042- 该补丁分别在Windows互联网名称服务(WINS)和Telnet的组件。“在光谱的另一端你有WINS和Telnet,”马尔默,谁预测,它们的更新将在很大程度上忽略,至少在最初说。
亚伯拉罕也叫出来MS09-044,远程桌面连接,通过一些Mac用户由Windows的客户端和服务器版本中使用,以及软件,访问应用程序和数据在远程系统上通过网络两补丁更新。
其他月份,说亚伯拉罕和马尔默,该更新将有可能上升到待办事项列表的顶部。“但它在雷达下飞行,因为关于ATL和OWC媒体炒作的,”马尔默说。
所有四个安全专家也把目光对准MS09-038,该补丁两个漏洞在Windows的处理流行的AVI媒体文件格式。
“这是一个媒体文件格式错误,一旦你观看恶意视频,你就会得到拥有一个典型的例子,”风暴补充说,他们可能是成熟的蠕虫病毒利用。“所有的可能性是存在的,”他说。
“这个漏洞将采用独特的攻击向量,”亚伯拉罕,谁说,这是值得注意的,因为攻击可以基于恶意视频剪辑同意。“这是从标准出发,并谈到媒体如何丰富已经成为至关重要的网络容量。”攻击者可以利用通过移除重复的用户的媒体格式的缺陷为访问网站主机操纵视频。
“我们要去感受19 [漏洞]本月初,”风暴说。“因为不同的系统需要进行修补和各种各样的软件,都必须经过测试的,每个人都将是这个月感觉疼痛。”
“微软的今天人们倾销一大块,”马尔默同意。
八月更新可,以及通过Windows服务器更新服务下载并通过Microsoft Update和Windows Update服务安装。
这个故事,“微软补丁扫地安全更新19个臭虫”最初发表计算机世界 。