一个多月前发布的微软新Edge浏览器已经获得了一套关键的安全补丁。
周二,微软发布了一份关键公告,作为其每月安全补丁的一部分,ms15 - 095这四个补丁涵盖了Windows 10-only Edge浏览器的漏洞。
本月,微软总共发布了12份公告,涉及56个漏洞。五份公告被认为是至关重要的,这意味着它们应该尽快得到处理。
除了Edge,这个月的补丁涵盖Internet Explorer、Windows、Office、Exchange、. net框架、Hyper-V虚拟机、Active Directory和业务Skype中的问题。
微软内置Edge是下一代Windows浏览器,旨在逐渐取代Internet Explorer。
微软本月披露的所有Edge漏洞也都出现在ie浏览器中ms15 - 094指出沃尔夫冈Kandek,首席技术官IT安全公司Qualys的。
“有人可能会攻击你,你是否有Internet Explorer或边缘,采用了特制的网页,” Kandek说。
Kandek说,这些副本显示了Edge和IE之间的代码重叠,这表明开发Edge的工程团队至少使用了IE的部分代码库。
但事实上,Edge本月的漏洞比IE少(IE有17个),这表明微软在构建一个更安全的浏览器方面的工程努力似乎取得了成效,Kandek说。
他说,这也表明编写无错误且不受攻击者影响的软件是多么困难。
因为Windows 10还没有在企业中广泛安装,所以查看Edge公告可能不是管理员的首要任务。
相反,他们应该首先关注的公告是ms15 - 097和ms15 - 099,其中描述了许多在Office 2007和2010年发现的关键漏洞的,劝阿莫尔Sarwate,工程Qualys公司董事。
“现在已经有攻击野生回事”使用这些漏洞,Sarwate说。很多都是远程代码执行漏洞,这意味着用户只需要打开一个恶意制作的Excel或Word文档,并在该代码可以执行,而不在用户不知情的行为。
运行Microsoft Exchange和Active Directory这些商店也应采取仔细看ms15 - 096和ms15 - 103,分别涵盖activedirectory和microsoftexchange。
在Exchange漏洞可能允许恶意攻击者能够通过Outlook Web Access的(OWA)客户端进入用户的文件。
Active Directory漏洞使该软件容易受到拒绝服务(DoS)攻击。
Active Directory通常是企业的关键应用程序。它跟踪所有的用户帐户,并且通常不会暴露在Internet上。但是管理员仍然应该努力保持它的补丁。
“如果有人进入你的网络,Active Directory可能是他们会尝试攻击的第一件事,” Sarwate说。
今年到目前为止,微软已经发布了105份公告,据Qualys估计,到今年年底,这个数字将达到145份。这是过去几年的数据。2014年,微软发布了106份公告,2011年发布了100份。(微软内部发现的问题通常不会对外公布,而是在攻击者发现之前用例行更新打上补丁。)
“我不认为软件变得更加脆弱,”Kandek说。越来越多的漏洞源于越来越多的第三方研究人员和攻击者发现问题,以及越来越多的不同产品、版本和产品运行平台。
“这是一个很好的指标,表明安全变得多么重要,”Kandek说。
(更正:文章的标题和第一、第二句话在文章发布后都被更正了。标题和第一句话的改变意在澄清,本月的安全公告并不是第一个发布针对Edge浏览器的关键补丁。第二句的更改将相关安全公告的编号更正为ms15 - 095)。