微软发布10个安全公告强调三个严重补丁更新

虽然微软周二发布了10个安全公告，解决了Windows 、Microsoft SharePoint、Internet Explorer（IE）、Internet信息服务（IIS）和.NET框架中的34个漏洞，但是微软安全响应中心（MSRC）的成员要求用户立即优先更新以下三个严重公告——MS10-33、MS10-034和MS10-035。

微软响应通信集团经理Jerry Bryant和高级安全程序经理Adrian Stone敦促用户立即安装MS10-033，它解决媒体解压漏洞——该漏洞可能允许远程执行代码，并可能导致路过式下载，例如，如果用户通过电子邮件收到损坏的media或特制的传输媒体文件破损网站。远程代码执行漏洞可以在Quartz.dll和Asycfilt.dll中找到。

根据Shavlik Technologies 公司的数据和安全经理Jason Miller所说，仅仅关注互联网浏览器补丁的日子已经改变了。他说，微软在过去六到八个月里一直都非常关注修复其媒体格式和播放器漏洞。

Miller说，“攻击者在关注浏览器攻击的同时，也越来越多地关注媒体播放器。我可以保证，现在，已经有人在你的网络上，浏览因特网，查看汤姆克鲁斯在《热带惊雷》里所演的Les Grossman跳舞（本周MTV电影奖中受欢迎的视频）。很有可能的是这些视频文件被损坏了。”该公告应该作为高度优先事项。

MS10-034是这个月另一个重要公告，它是Active Kill Bits的累积安全更新，它可以确保有缺陷的ActiveX控件不会通过Internet Explorer被利用。微软的Stone 在MSRC网站上发布的视频中说，“我们强烈建议用户，即使这些控件进行了更新，也要重设Kill Bits。”

微软控件将向Kill Bits申请两个控件： Internet Explorer 8开发工具控件和数据分析器ActiveX控件。数据分析器ActiveX控件不是默认安装的，但用户可以通过第三方应用程序来安装。

根据微软，另一个重要的优先更新是MS10-035，用于Internet Explorer的累积更新。对Windows 2000专业版、Windows XP、Windows Vista和Windows 7来说，此安全更新等级为“严重”，它解决了6个漏洞，包括先前公布的安全咨询980088（一个允许信息泄露的IE漏洞）。微软表示，还未发现针对此漏洞的任何有效攻击。

这个月的公告也解决了安全咨询983438，即解决了Microsoft SharePoint中的提升特权的漏洞。

其中，有7个公告影响Windows，包括一个解决IIS漏洞的安全更新，一个解决IE浏览器漏洞的更新，两个Office相关产品的漏洞更新和一个解决SharePoint服务器漏洞的更新。

其他“重要”的更新

在微软安全响应中心的博客中，也介绍了其他“重要”的安全更新：

除了MS10-033、MS10-034和MS10-035，本月的其他更新，安全更新等级为“重要”，包括MS10-032，它解决Windows内核模式驱动程序中提升特权的问题。该公告解决了一个潜在的远程载体，在调用受影响的API时，如果非微软应用程序无法正确地请求缓冲区的长度，它就会出现。

另一个“重要”安全公告，MS10-036，解决Office应用程序中通过ActiveX进行的攻击。对于在Windows XP或更新的操作系统上运行Office XP的用户，可以通过微软FixIt解决方法工具安装一个垫片，防止该漏洞影响COM验证漏洞。

但是，Miller警告说，Office XP仍然容易受攻击，该解决办法不能删除这个漏洞，但能阻止应用程序受感染。“FixIt工具在技术上不是补丁。它和硬化OS一样，是个缓解方法，你不能通过Windows更新来解决它。它需要在您的网络中进行人工干预才能解决。” Miller还敦促用户尽可能升级到Office 2003或2007。

Miller说，在前几个月因为公告和补丁很少，用户可能能够避免部署更新，但今天的多个补丁可能会影响组织的工作站和服务器。如果管理员部署、运行补丁并重新启动机器，这将会使补丁周期更长。

微软MVP和IT管理员Susan Bradley，将于下周推出补丁。Bradley对所有的漏洞有其自己的看法，包括那些与Internet Explorer和SharePoint有关的漏洞，但她指出安全公告的特殊挑战，如MS10-041，它解决.NET框架漏洞。用户可能在一台机器上安装有该框架的多个版本，.NET补丁安装过程可能会比较漫长。

Bradley说“有时[.NET]补丁卡住，给你一个错误信息。然后你就必须将它们全部卸出，重新申请，再安装。”并且，你还需要另一种工具来卸载和重新安装该框架。

【编辑推荐】