微軟在上周四針對用戶發(fā)布關(guān)鍵Windows公告，五月份的補丁計劃比較簡單，將在‘補丁星期二’發(fā)布兩個公告，其中一個為“危急”，解決Windows中的一個漏洞問題。

微軟表示，該危急公告解決的Windows漏洞對Windows Server 2003，2008和2008 r2都有影響。第二個公告定級為“重要”，解決了兩個漏洞，這兩個漏洞存在于微軟PowerPoint 2002，2003和2007版本以及針對Mac平臺的Office 2004和2008版本中。公告已定于美國時間5月10日發(fā)布。

可利用系數(shù)（Exploitability Index）的改變

此外，微軟還宣布改變其可利用系數(shù)，旨在幫助IT管理員安排好補丁實施的優(yōu)先級。該指數(shù)的數(shù)值，根據(jù)補丁發(fā)布頭30天功能開發(fā)代碼出現(xiàn)的可能性而定。

更改后的指數(shù)將包括兩個指標來評價每個漏洞，可為最新的平臺和舊版本的軟件打分定級。高級安全程序經(jīng)理Maarten Van Horenbeeck，在微軟安全響應中心的博客中寫道，改變指數(shù)的目的，是為了將漏洞評估變得對用戶而言更清晰和更易懂。

“這一改變，使用戶更容易在最新的平臺上，確定微軟新產(chǎn)品中提供的額外安全措施和功能帶給他們的風險。”Van Horenbeeck寫道，“在以前的系統(tǒng)下，所有的產(chǎn)品版本只有一個總的漏洞評級。”

Van Horenbeeck表示，在開源系統(tǒng)中比如地址空間布局隨機化（ASLR），數(shù)據(jù)執(zhí)行保護（DEP）和其他幫助阻止漏洞利用的技術(shù)中，可利用系數(shù)被批評說沒有將更多最近的措施考慮在內(nèi)。比如在Windows XP中，ASLR不是默認部署的。

拒絕服務的風險

改變后的可利用系數(shù)還將拒絕服務攻擊（denial-of-service，DoS）帶來的風險考慮在內(nèi)，拒絕服務攻擊會導致系統(tǒng)停止響應或崩潰。該指數(shù)將表明一個DoS攻擊是否是“永久”的，是否會使一個程序或操作系統(tǒng)崩潰，以及是否在攻擊中無法響應。

Van Horenbeeck表示，“對于面向服務的互聯(lián)網(wǎng)管理員來說，一個高危的漏洞和一個不重要的漏洞是有區(qū)別的。”

在過去八個月可利用系數(shù)的評級中，微軟發(fā)現(xiàn)，一共有256個評級，其中97個為不太嚴重或?qū)π掳姹井a(chǎn)品不使用。有七個例子可以證明是最新的產(chǎn)品版本受到影響，而舊版本不會受到影響。

漏洞管理廠商Lumension安全公司的安全和法證分析主任Paul Henry表示，改變后的指數(shù)增強了一個評估工具能力，該工具對那些需要微調(diào)優(yōu)先事項的管理員來說已經(jīng)很有用。

Henry在一封電子郵件中寫道，“微軟在業(yè)界在補丁的背景信息方面已經(jīng)做得很好，現(xiàn)在他們又開始邁向另一個缺口。”

【編輯推薦】

1. 瑞星加入微軟平臺就緒計劃 全線兼容SQL2008R2等三大產(chǎn)品
2. 微軟緊急安全更新 涉及多家大型網(wǎng)站證書
3. 微軟加快漏洞報告進程--協(xié)助處理第三方漏洞
4. 微軟會同美政府打掉全球最大垃圾郵件網(wǎng)絡
5. 微軟發(fā)布3月補丁 可防止木馬“空投”到電腦