微軟在上周四針對用戶發(fā)布關(guān)鍵Windows公告，五月份的補(bǔ)丁計(jì)劃比較簡單，將在‘補(bǔ)丁星期二’發(fā)布兩個(gè)公告，其中一個(gè)為“危急”，解決Windows中的一個(gè)漏洞問題。

微軟表示，該危急公告解決的Windows漏洞對Windows Server 2003，2008和2008 r2都有影響。第二個(gè)公告定級為“重要”，解決了兩個(gè)漏洞，這兩個(gè)漏洞存在于微軟PowerPoint 2002，2003和2007版本以及針對Mac平臺的Office 2004和2008版本中。公告已定于美國時(shí)間5月10日發(fā)布。

可利用系數(shù)（Exploitability Index）的改變

此外，微軟還宣布改變其可利用系數(shù)，旨在幫助IT管理員安排好補(bǔ)丁實(shí)施的優(yōu)先級。該指數(shù)的數(shù)值，根據(jù)補(bǔ)丁發(fā)布頭30天功能開發(fā)代碼出現(xiàn)的可能性而定。

更改后的指數(shù)將包括兩個(gè)指標(biāo)來評價(jià)每個(gè)漏洞，可為最新的平臺和舊版本的軟件打分定級。高級安全程序經(jīng)理Maarten Van Horenbeeck，在微軟安全響應(yīng)中心的博客中寫道，改變指數(shù)的目的，是為了將漏洞評估變得對用戶而言更清晰和更易懂。

“這一改變，使用戶更容易在最新的平臺上，確定微軟新產(chǎn)品中提供的額外安全措施和功能帶給他們的風(fēng)險(xiǎn)。”Van Horenbeeck寫道，“在以前的系統(tǒng)下，所有的產(chǎn)品版本只有一個(gè)總的漏洞評級。”

Van Horenbeeck表示，在開源系統(tǒng)中比如地址空間布局隨機(jī)化（ASLR），數(shù)據(jù)執(zhí)行保護(hù)（DEP）和其他幫助阻止漏洞利用的技術(shù)中，可利用系數(shù)被批評說沒有將更多最近的措施考慮在內(nèi)。比如在Windows XP中，ASLR不是默認(rèn)部署的。

拒絕服務(wù)的風(fēng)險(xiǎn)

改變后的可利用系數(shù)還將拒絕服務(wù)攻擊（denial-of-service，DoS）帶來的風(fēng)險(xiǎn)考慮在內(nèi)，拒絕服務(wù)攻擊會導(dǎo)致系統(tǒng)停止響應(yīng)或崩潰。該指數(shù)將表明一個(gè)DoS攻擊是否是“永久”的，是否會使一個(gè)程序或操作系統(tǒng)崩潰，以及是否在攻擊中無法響應(yīng)。

Van Horenbeeck表示，“對于面向服務(wù)的互聯(lián)網(wǎng)管理員來說，一個(gè)高危的漏洞和一個(gè)不重要的漏洞是有區(qū)別的。”

在過去八個(gè)月可利用系數(shù)的評級中，微軟發(fā)現(xiàn)，一共有256個(gè)評級，其中97個(gè)為不太嚴(yán)重或?qū)π掳姹井a(chǎn)品不使用。有七個(gè)例子可以證明是最新的產(chǎn)品版本受到影響，而舊版本不會受到影響。

漏洞管理廠商Lumension安全公司的安全和法證分析主任Paul Henry表示，改變后的指數(shù)增強(qiáng)了一個(gè)評估工具能力，該工具對那些需要微調(diào)優(yōu)先事項(xiàng)的管理員來說已經(jīng)很有用。

Henry在一封電子郵件中寫道，“微軟在業(yè)界在補(bǔ)丁的背景信息方面已經(jīng)做得很好，現(xiàn)在他們又開始邁向另一個(gè)缺口。”

【編輯推薦】

1. 瑞星加入微軟平臺就緒計(jì)劃 全線兼容SQL2008R2等三大產(chǎn)品
2. 微軟緊急安全更新 涉及多家大型網(wǎng)站證書
3. 微軟加快漏洞報(bào)告進(jìn)程--協(xié)助處理第三方漏洞
4. 微軟會同美政府打掉全球最大垃圾郵件網(wǎng)絡(luò)
5. 微軟發(fā)布3月補(bǔ)丁 可防止木馬“空投”到電腦