微軟在本周二發(fā)布了17個(gè)安全公告，修復(fù)了被 Stuxnet惡意軟件利用的零日漏洞，阻止攻擊者以IE中的幾個(gè)嚴(yán)重漏洞為攻擊目標(biāo)。

微軟本月修復(fù)了40個(gè)產(chǎn)品漏洞，以及七個(gè)存在于客戶(hù)端軟件和服務(wù)器系統(tǒng)的嚴(yán)重漏洞（影響微軟SharePoint Server和Exchange）。補(bǔ)丁專(zhuān)家表示額外的公告表明微軟正在致力于提高它解決漏洞的效率。

Shavlik Technologies公司數(shù)據(jù)與安全團(tuán)隊(duì)領(lǐng)導(dǎo)Jason Miller說(shuō)，今年微軟發(fā)布的安全公告數(shù)（108個(gè)）也暗示安全廠商正在完善它們的進(jìn)程。Miller表示雖然今年對(duì)微軟來(lái)說(shuō)是艱難的一年——微軟今年發(fā)布了許多帶外補(bǔ)丁，還發(fā)現(xiàn)了許多零日漏洞——但微軟在其工程師團(tuán)隊(duì)以及補(bǔ)丁修復(fù)方面變得越來(lái)越透明了。

Miller表示，“微軟已經(jīng)在方法上有了很大的提高，我希望其他廠商能夠看到這一點(diǎn)，并試圖模仿微軟的做法。”

在最近的更新中，微軟修復(fù)了被Stuxnet木馬利用的第四個(gè)零日漏洞。該惡意軟件以其他的一些漏洞為目標(biāo)來(lái)訪問(wèn)Windows系統(tǒng)，并使用Windows Task Scheduler中的一個(gè)漏洞來(lái)升級(jí)權(quán)限，以西門(mén)子監(jiān)控和數(shù)據(jù)采集（SCADA）軟件為攻擊目標(biāo)。微軟將該漏洞定義為“重要”，并表示攻擊者必須有有效的登錄憑證，并且在本地登錄才可利用該漏洞。

微軟攔截了一些嚴(yán)重的IE漏洞。此公告解決五個(gè)影響IE所有版本的嚴(yán)重問(wèn)題（Windows客戶(hù)端和Windows服務(wù)器）。Sarwate表示最近微軟受到越來(lái)越多地針對(duì)IE漏洞的攻擊。

Sarwate說(shuō)，“在中國(guó)和韓國(guó)，這些漏洞被利用的趨勢(shì)在上升。”

微軟Windows Open Type Font驅(qū)動(dòng)中的一些嚴(yán)重漏洞也在本周被修復(fù)。微軟表示攻擊者可以在網(wǎng)絡(luò)共享中托管OpenType font，誘使用戶(hù)瀏覽它，自動(dòng)觸發(fā)Windows Explorer中的漏洞，“從而使這個(gè)定制的font完全控制受感染的系統(tǒng)。”對(duì)在Windows Vista、Windows Server 2008、Windows 7和Windows Server 2008上運(yùn)行的OTF驅(qū)動(dòng)來(lái)說(shuō)，該安全更新被定義為“嚴(yán)重”。

此外，微軟解決了Windows中微軟和一些第三方應(yīng)用程序預(yù)負(fù)載共享文件的方式中的一些漏洞。有些公告解決了媒體處理漏洞或DLL預(yù)負(fù)載錯(cuò)誤。這些公告被定義為“重要”，解決客戶(hù)端和服務(wù)器系統(tǒng)中的預(yù)負(fù)載漏洞。管理員應(yīng)該部署該補(bǔ)丁，但是Qualys的Sarwate表示IT管理員可以應(yīng)用DLL preloading fix來(lái)解決第三方Windows組件中的預(yù)負(fù)載錯(cuò)誤。

另一個(gè)值得注意的安全公告修復(fù)了微軟Office中的7個(gè)漏洞，攻擊者可以遠(yuǎn)程利用這些漏洞以訪問(wèn)重要的系統(tǒng)文件或安裝惡意軟件。這些漏洞影響Microsoft Office Graphics Filters，可以被用來(lái)誘使用戶(hù)打開(kāi)一個(gè)惡意的圖像文件。對(duì)Microsoft Works 9、Microsoft Office Converter Pack、Microsoft Office XP和Microsoft Office 2003來(lái)說(shuō)，該公告被定義為“重要” 。

作者：Robert Westervelt

【編輯推薦】

1. 微軟12月將修復(fù)40個(gè)漏洞
2. 微軟發(fā)布12月補(bǔ)丁 徹底修復(fù)“超級(jí)工廠”攻擊漏洞