微软周二的安全更新可能会包括一个修复在Excel中漏洞研究人员今天表示,已被攻击者剥削了几周。但他告诉用户不要期望修复公司超过两个月前承认的另一个错误。
根据微软上周发布的预补丁通知,12个安全更新中有3个将解决微软Office中的严重缺陷。然而,没有一个人提到该套件的电子表格应用程序Excel,而是提到了Publisher和Word中的漏洞,以及Office 2000、Office XP和Office 2003中的第三个通用漏洞。
大约一个月前,微软发布了一份安全建议,证实了这一点针对Excel的攻击正在进行中.然后,该公司建议Office 2003用户通过MOICE(微软Office隔离转换环境)运行可疑的Excel文件。MOICE是去年发布的一种免费转换工具,可以将Office 2003格式的文档转换为更安全的Office 2007格式,以去除可能的利用代码。它还告诉用户考虑使用文件块(File Block),这是一种最后防线,可以让管理员阻止选择Office文件类型。
nCircle网络安全公司的安全运营总监安德鲁·斯道姆指出,Office的更新占据了周二补丁的三分之一。“对于微软来说,如果不解决Excel中一个备受公众争议的漏洞,那将是一个巨大的失误,”他说。一些人争论说Excel漏洞不是一个大威胁,甚至连微软在安全建议中精心选择的措辞似乎也淡化了它的风险。
“希望他们明天就能修好,”斯道姆补充道。
不过,斯道姆说,另一个已知已久的Windows漏洞可能不会出现在最终名单上。他指出:“WPAD问题于12月3日在微软的一份安全[咨询]中发表,它继续混淆了整个行业。”“(但)基于高级通知矩阵中的信息,我没有看到一个似乎很适合潜在的WPAD修复。”
两个多月前,微软承认Windows在搜索互联网上其他电脑时存在漏洞。该漏洞被称为Web代理自动发现漏洞(WPAD),但这实际上是Windows查找域名系统信息的一个缺陷。这个问题最初是在1999年修复的,但去年11月,一名研究人员指出,这个问题又重新出现在Windows的后续版本中。
这个漏洞可以让攻击者将用户引导到一个不可信的WPAD服务器,但它并没有进入2007年12月或2008年1月的补丁周期。
“(关于WPAD的)争论是,这个已知漏洞的风险是否需要修复,以及在什么时间内修复,”Storms说。“包括我在内的许多人都推测,基于已知的漏洞细节,修复不应该需要大量的工程时间。”斯雷姆重申了他早些时候的看法,即微软可能已经将WPAD补丁用于进一步测试。他表示:“对于依赖这一功能的大型企业来说,这个修复方案可能意味着更大的潜在责任。”
计划在周二进行的十几个更新还包括解决Internet Explorer、Microsoft Works、IIS、VBScript、JavaScript和Active Directory等漏洞。
假设微软不会在最后一分钟取消一个或多个更新——它有时确实这么做了——它将在下午1点左右发布12个公告。东部时间周二通过Windows更新威诺娜州立大学(Windows Server Update Services)。
了解更多关于这个主题的信息
这篇文章,“修复了几个星期前的Excel漏洞,可能在周二”,最初是由《计算机世界》 .