微軟2013年10月份的“補(bǔ)丁星期二(Patch Tuesday)”安全更新發(fā)布了8個(gè)公告，解決了26個(gè)漏洞，有4個(gè)屬于“關(guān)鍵”級別，其中最具影響力的補(bǔ)丁是解決了最近IE瀏覽器出現(xiàn)的零日漏洞。

SetMouseCapture IE零日漏洞是由安全廠商FireEye在9月份最先發(fā)現(xiàn)的，其實(shí)安全專家之前就預(yù)期會(huì)出現(xiàn)該漏洞。由于它是自檢測的，所以FireEye公司發(fā)現(xiàn)了至少三個(gè)利用該零日漏洞進(jìn)行主動(dòng)攻擊的活動(dòng)，其中之一要追溯到Hidden Lynx，它是中國專業(yè)黑客團(tuán)隊(duì)，并被認(rèn)為與今年早些時(shí)候攻擊了安全廠商Bit9的事件有關(guān)。

雖然只觀察到了基于有限區(qū)域的有針對性的攻擊的一部分，但是利用代碼漏洞，一旦被公開披露，它會(huì)急劇蔓延。上周，滲透測試工具M(jìn)etasploit發(fā)布了一個(gè)利用IE零日漏洞的攻擊模塊，這進(jìn)一步增加了微軟提供補(bǔ)丁的壓力。

根據(jù)零日漏洞CVE-2013-3893的調(diào)查結(jié)果，微軟表示，該漏洞是由于IE“訪問了內(nèi)存中已被刪除或沒有正確分配的對象”產(chǎn)生的。這樣，攻擊者就可以執(zhí)行任意代碼，華盛頓Redmond總部軟件專家表示，攻擊者可以建立一個(gè)特定的網(wǎng)站，利用該漏洞來欺騙用戶訪問它。

第一個(gè)公告是MS13-080，它是作為一共解決IE瀏覽器的10個(gè)漏洞累積安全更新，CVE-2013-3893是唯一一個(gè)公開披露的。

盡管很多安全專家都知道零日漏洞，但位于波士頓的漏洞管理廠商Rapid7的安全工程高級經(jīng)理Ross Barrett還是提出了一個(gè)單獨(dú)的IE零日漏洞CVE-2013-3897，它是第一個(gè)公告中沒有公開的9個(gè)漏洞之一。他表示，這個(gè)第二個(gè)零日漏洞也會(huì)被用來進(jìn)行有針對性攻擊。

Barrett強(qiáng)調(diào)：“這并不是說其它8個(gè)IE漏洞就沒有潛在的破壞性，不過至少到目前為止，它們還沒有被利用進(jìn)行針對性攻擊。”

除了在MS13-080中提供的重要的IE更新，微軟還在其優(yōu)先級最高的部署中分類了兩個(gè)其它更新版本。第一個(gè)是MS13-081，它在微軟Windows各版本之間提供了7個(gè)問題的補(bǔ)丁。在這個(gè)版本中的私人漏洞補(bǔ)丁中，該公司表示最重要的是如果用戶使用嵌入式OpenType或者TrueType字體文件，則允許遠(yuǎn)程代碼執(zhí)行。攻擊者可能會(huì)通過這個(gè)漏洞獲得內(nèi)核級的系統(tǒng)訪問，盡管目前還沒有發(fā)現(xiàn)任何活躍漏洞。

微軟發(fā)布的另一高優(yōu)先級的補(bǔ)丁是MS13-083，它只解決微軟Windows和Windows Server多個(gè)版本中發(fā)現(xiàn)的一個(gè)問題。如果一個(gè)系統(tǒng)可以接收從ASP.NET Web應(yīng)用程序的特定請求，那么它就是另一個(gè)允許遠(yuǎn)程執(zhí)行代碼的漏洞。微軟提醒，一旦成功利用該漏洞會(huì)授予攻擊者本地用戶的權(quán)利。Barrett表示，這個(gè)漏洞提出了一個(gè)“潛在的‘蠕蟲’條件”，這就提醒我們，如果攻擊者根據(jù)它進(jìn)行自動(dòng)化漏洞，就可以測試到企業(yè)防御系統(tǒng)。

在十月份的補(bǔ)丁星期二中發(fā)布的MS13-082解決了其它“關(guān)鍵”漏洞。其中解決的最嚴(yán)重的漏洞就是如果用戶訪問了一個(gè)包含能操縱OpenType字體文件的網(wǎng)站，它會(huì)允許遠(yuǎn)程代碼執(zhí)行。這種漏洞存在于Microsoft .NET架構(gòu)的其中幾個(gè)版本中。

其它四個(gè)更新也是解決微軟認(rèn)為重要的幾個(gè)問題，但是Barrett建議企業(yè)重點(diǎn)關(guān)注前四個(gè)補(bǔ)丁。