微软提供百万PowerPoint补丁

修复了Windows版本的14个缺陷,将Mac的更新延迟到6月

高级记者,《计算机世界》 |

不出所料,微软今天修补了一个持续了六周的PowerPoint关键漏洞,PowerPoint是Office套件的一部分。Mac版本的补丁将于6月发布。

不出所料,微软今天仅用一次安全更新就修补了PowerPoint上一个持续了六周的严重漏洞。PowerPoint是流行的办公套件的一部分。

但这一次更新修补了14个单独的漏洞,其中11个被评为“严重”,微软的最高威胁排名。

此外,虽然微软对所有仍然支持的Windows Office版本(包括Office 2000、Office XP、Office 2003和Office 2007)都打了补丁,但未能完成对Office 2004和Office 2008三个漏洞的修复,而这三个漏洞也会影响mac上的Office 2004和Office 2008。该公司说,这些版本的修复还没有准备好。

这是微软第一次发布补丁,但并不是在每个受影响的版本中都填补漏洞,微软自己也承认这一点。

“我们通常不会更新前一个支持平台,但考虑到这种情况的一个包可用于整个产品线保护绝大多数客户风险在可预测的发布周期,我们决定早点去Windows软件包,”乔纳森·洛克说,一个工程师的微软安全响应中心他在公司博客上发表了一篇文章。

“我们分析过的[PowerPoint]漏洞样本中,没有一个会可靠地利用Mac版本,所以我们不想在等待Mac软件包的同时,还在等待Windows的安全更新,”尼斯补充道。

在其他地方,微软表示当测试完成时,它将“在这些产品线的常规公告发布周期上发布更新”。微软的下一个例行补丁日是6月9日。

补丁管理供应商Shavlik Technologies的首席技术官埃里克·舒尔茨(Eric Schultze)说,微软现在推出Windows补丁是正确的决定。“这很有意义,”舒尔茨说,“因为零日攻击只对Windows有效。”

四月初,当微软承认PowerPoint至少存在一个漏洞时,它也指出了这一点攻击代码已经在传播至少是少数人。黑客利用了这个漏洞,也可以利用其他漏洞,欺骗用户打开一个畸形的PowerPoint文件。

在微软修复的14个PowerPoint漏洞中,大多数漏洞(总共10个)由VeriSign iDefense报告或共同报告。VeriSign iDefense是向漏洞搜索者支付奖金的两家公司之一。

“14人也令我们震惊,”iDefense情报总监里克霍华德(Rick Howard)说。“我们通常一个月得到一个,有时会得到两个。很多时候,我们(在微软的月度公报中)看不到任何消息。我们从来没有得到过这么多的赞誉。”

在iDefense向微软报告的10个漏洞中,有7个来自外部研究人员,他们的工作得到了报酬,而另外3个漏洞是由一名内部员工清除的,这名员工是iDefense雇佣的6名漏洞研究人员之一。霍华德说:“他为这三款软件都编写了开发代码。”“这些漏洞不是100%可靠的,但他认为,再多做一些工作,它们是可以变得可靠的。”

iDefense不会向公众发布内部开发的漏洞。

正如Office长期以来的趋势一样,较老的软件——在这个例子中是PowerPoint 2000——比新版本更容易受到攻击。PowerPoint 2000受到了14个漏洞中的11个的影响,这些漏洞都被评为危急级别。与此同时,PowerPoint 2002年和2003年的11个相同漏洞,仅被视为“重要”或“中等”威胁。

nCircle网络安全公司的安全运营主管安德鲁·斯图斯(Andrew Storms)表示:“新软件更好。”“如果有人需要商业案例来证明升级是合理的,那就应该是。2月份Excel漏洞四月份的PowerPoint漏洞就是它。”

storm还淡化了在单个更新中捆绑的单个补丁的数量。风暴说:“你必须把眼光放远。“对于大多数用户来说,14并不意味着什么。更大的收获是,公开利用的漏洞被修补,并保护您免受零日攻击。这样想吧:你可以免费得到另外13个。”

微软也利用这个机会从PowerPoint 2000年和2002年取消了对古老的PowerPoint 4.0格式的支持——该公司已经在PowerPoint 2003 SP2和SP3以及PowerPoint 2007中做到了这一点。

微软的Ness表示:“如果你真的、真的、真的需要打开一个相信不是恶意的PowerPoint 4.0文件,我们建议你暂时重新启用它,打开文件,以新的格式保存,然后立即再次禁用旧格式。”用户需要编辑Windows注册表,以重新启用旧的文件格式;微软这里发布指令

开发人员还解决了PowerPoint转换代码中的一些问题,该工具允许用户打开和保存较旧的文件格式。在某些情况下,微软将Office 2003 SP3代码“反向移植”到旧的Office 2000和XP。尼斯说:“我们希望通过这次全面的更新和主动解决安全漏洞,我们可以降低风险,帮助我们的客户避免未来的漏洞。”“这是一个追赶的好机会,”风暴说。“虽然14个[漏洞]看起来令人生畏,但实际上只有一个更新。”

“但不要认为微软已经迎头赶上,”舒尔茨告诫说。“微软总是会备份漏洞。”

这篇故事,“微软交付百万PowerPoint补丁”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

高级记者Gregg Keizer为计算机世界报道Windows, Office, Apple/enterprise,网络浏览器和网络应用。

版权©2009Raybet2

工资调查:结果在