微软将在下周发布8个安全更新,其中6个标记为“关键”,以堵住Windows的漏洞,Internet Explorer、Office等产品。
8次更新中有2次是针对Windows的,另外2次针对Office,其余4次针对IE、SharePoint、Windows媒体播放器微软周四在其月度报告中表示预警下周二会发生什么
这两项针对Windows的更新中,有一项可能最终修复了一个八个月前就被微软首次承认的漏洞,该漏洞自10月中旬以来一直被黑客利用安德鲁风暴nCircle网络安全公司的安全运营总监。
“微软的公告‘Windows 1’看起来就像951306公告中的问题,”storm说,他指的是4月份发布的关于所有版本Windows都存在权限提升错误的警告。在那之前几周,研究员兼安全顾问塞萨尔·塞鲁多(Cesar Cerrudo)表示,他将在即将召开的一次会议上披露一个Windows漏洞;当时,微软有淡化这个问题他说,这个问题是“设计缺陷”,而不是安全缺陷。
然而,在10月中旬,微软证实黑客是活跃的利用未修补的bug。
风暴说,总的来说,下周的补丁列表看起来像“取样盘,自助餐,如果你愿意的话,所有东西都有一点。”
Qualys Inc.的首席技术长冈•坎德克(Wolfgang Kandek)对此表示赞同。“它看起来很正常,也有一些常见的可疑之处,”他一边说,一边列举了针对Office、IE和Windows Media Player的公告,这些软件今年都打了好几次补丁。
然而,storm和Kandek都指出了Windows更新的重要性。它被微软称为“Windows 2”,将为该操作系统的新版本打补丁Vista和Server 2008——但不适用于旧版本,如Windows 2000, XP或Server 2003。
Kandek说,通常情况是相反的。“Vista和Server 2008是用不同的方式开发的,采用了安全开发生命周期(SDL)流程,对代码进行了更多的审查。”
“错误一定是在(Vista和Server 2008中的)旧版本的代码中,这些代码是从头重写的,或者是在新的代码中,”Storms说。
坎德克也呼应了这一想法。“我们知道Vista使用了很多旧操作系统的组件和代码,但微软也增加了新的服务,”他说。“这似乎是一项新服务的漏洞。”
在其他的公告中,Kandek指出SharePoint补丁可能是最有趣的。“我们并不经常看到这种情况,这可能会很有趣,因为它是在服务器端。”
与此同时,storm指出,Office的两个更新——将对Word和Excel进行补丁——可能是对文件格式错误的修复,因为这两个更新不仅适用于这些应用程序的Windows版本,也适用于相应的Mac版本。
如果微软发布了全部8份公告(有时会在最后一分钟删除一份),它将发布77份年度公告,而2007年的总数是69份,接近2006年的78份,但远低于2000年100份更新的记录。
微软将在美国东部时间周二下午1点左右发布12月份的安全更新。
这个故事,“微软为今年的最后一个周二补丁更新8个bug”最初是由《计算机世界》 。