微软今天表示,它计划在周二发布6项安全更新,其中两项针对几个月来黑客用来攻击Windows和ie的漏洞。
微软今天表示,将于下周二发布6个安全更新,其中两个漏洞是针对几个月来黑客攻击Windows和IE (IE)的漏洞。
在今天预览的六个更新中预先通知其中三家将会影响Windows系统,另外一家将分别修补发布、互联网安全和加速服务器(ISA)以及微软的虚拟PC和虚拟服务器软件的问题。Windows更新将被标记为“关键”,这是微软的最高威胁等级,而其他更新将被标记为“重要”,这是该公司四步评分系统下一个等级。
nCircle网络安全公司(nCircle Network security)安全运营主管安德鲁•斯风暴(Andrew Storms)表示,这两起攻击针对的是两个零日漏洞(在发布补丁之前被利用的漏洞),这是最重要的事件。“今天真正重要的是对已知错误的修复,”storm说,他指的是DirectX的DirectShow和ActiveX控件中可以通过IE6和IE7利用的另一个漏洞。
“事实上,很难猜测我们会在其他四个更新中看到什么,但最终可能不会有太大影响,”斯雷姆斯说。“我们需要的是缓解DirectX和ActiveX漏洞。”
微软明确表示,将于下周发布的三个关键Windows修复程序中,有两个将解决其在最近两份安全建议中承认的漏洞。就其本身而言,这是非常不寻常的;通常,预先通知和任何附带的评论都不会指定将修补哪些错误。“这是不寻常的,”风暴说。“但我并不完全感到惊讶,因为微软在安全问题上更加沟通。”
“我们将解决这个问题……微软安全研究中心(MSRC)发言人杰里·布莱恩特(Jerry Bryant)在一份声明中说:“我们担心DirectShow存在漏洞。博客今天。
科比指的是a迎的警告微软承认正在进行的攻击是针对DirectShow QuickTime解析器的一个漏洞。微软未能及时生产一个补丁,以满足常规的6月更新时间表。
周二的书中还有一个针对最近ActiveX漏洞的补丁,黑客们从6月初就开始使用这个漏洞来劫持越来越多的Windows XP电脑。据发现该漏洞的研究人员称,微软已经掌握了该漏洞的详细信息12个月以上袭击至少从6月9日开始就一直在进行。
今天早些时候,MSRC的一名主管Mike Reavey证实微软在2008年春天就已经知道这个漏洞,但是直到上周才否认公司知道这些攻击。“我们是在发布报告的前一天才意识到这些攻击的,”Reavey说。
Reavey说,对ActiveX漏洞的修复不会是一个补丁本身,而是一个自动更新,将设置大量的“杀死位”来禁用有缺陷的控制。固定的,那么,将是相同的手动工作区这是微软周一发布的公告。
“这将阻止所有已知的攻击,”Reavey承诺,他补充说,微软将继续其完善的补丁工作,它将在未来的某个时候发布。他拒绝透露该补丁是否会在“周期外”发布——在正常的每月更新计划之外——当它准备好时。
对于用户来说,能够准确地知道需要修复的补丁是一项额外的奖励,storm争辩道,并再次指出微软在今天的提前警告中确认补丁是多么不寻常。他说:“知道这个补丁将在周二发布,企业可能会停止他们目前部署解决方案的努力,而只是等待自动更新。”
当被问及定于周二交付的其他四项更新时,斯风暴说:“如果你愿意,剩下的更新就像自助餐一样。”“在很大程度上,我们似乎回到了历史趋势,即新产品风险更低。”
但最重要的新闻是对这两个零日的修正,他重复道。“每个人都应该高兴看到他们,”他说。
微软将在美国东部时间7月14日下午1点左右发布6个更新。
这个故事,“微软承诺在下周用新的补丁阻止黑客”最初发表《计算机世界》 。