网络安全 频道

微软发布16个安全公告 修复IE等漏洞

  微软在其补丁星期二发布了16个安全公告,修复了主要操作系统和其产品线的其他严重代码错误。

  在六月的安全公告中,微软将九个定级为‘危急(严重)’,七个定为‘重要’。九个严重漏洞的修复,大多都需要重启。在其博客上,微软按优先顺序列出了四个严重漏洞:

  MS11-042,分布式文件系统(DFS)中的一个漏洞可允许远程执行代码;MS11-043,此安全更新解决了Windows中一个秘密报告的漏洞。如果攻击者将特制的SMB响应发送到客户端发起的SMB请求,此漏洞可能允许远程执行代码;MS11-050,解决了11个IE漏洞;MS11-052,修复了IE 6、IE 7和IE 8中的矢量标记语言(VML)。

  VMware漏洞管理部门(原Shavlik Technologies公司)的研究和开发经理Jason Miller表示,IE的累计更新是预料之中的,两个月一次。“这是一个数量问题,一个攻击向量可以让未打补丁的系统用户在不知情的情况下浏览到一个恶意网站,”Miller关于IE漏洞这样说道。

  Miller表示他高度重视IE更新。此次安全更新还涉及到四个影响IE 9(浏览器的最新版本)的漏洞。Miller说道,Web浏览器是软件最重要的部分,必须更新,因为用户无法完全控制,且很少都在一个互联网网络之内。

  Excel漏洞

  Qualys公司的CTO Wolfgang Kandek强调了MS11-045补丁,该更新修复了微软Excel中的八个漏洞,因为该应用被广泛使用,这些漏洞被定为重要级别。此外,微软将该漏洞仅定为重要是因为该利用漏洞需要用户参与。但是企业需要经常使用电子表格,应该优先考虑更新该补丁。他指出,一个Excel文件是RSA SecurID攻击中被使用的一个因素。

  “这些都是远程代码执行漏洞,所以它们可以被利用从而控制你的计算机,而人们认为打开Excel文件没有问题。”Kandek说道。

  尽管不是严重,但Kandek认为MS11-046很重要。它解决了Microsoft Windows辅助功能驱动程序(Microsoft Windows Ancillary Function Driver)中的一个漏洞,解决了一个被攻击者积极攻击的问题。该漏洞是一个特权提升漏洞(elevation of privilege vulnerability),必须加以利用本地。

  Microsoft Silverlight

  MS11-039,此安全更新解决微软.NET Framework和Silverlight中一个漏洞。如果用户使用可运行XAML浏览器应用程序(XBAP)或Silverlight应用程序的Web浏览器查看特制网页,则此漏洞可能允许在客户端系统上远程执行代码。

  Qualys的Kandek表示,他们客户的浏览器中有50%都安装了Silverlight。Miller补充道,运行多媒体的软件,经常在网站后台工作,往往在用户可以浏览网站内容前要求下载。

  “与浏览器绑在一起基本是正确的,一旦你安装了它,你就可以看更多Silverlight内容,比你想的要多。”Miller说道。

  Adobe系统季度更新

  Adobe系统公司发布了它的季度更新,其中包含了一个严重更新,针对Adobe Reader,修复了11个漏洞。Adobe还发布了一个针对Shockwave Player的大型补丁,解决了两打漏洞,且修复了Flash中一个严重的漏洞,该漏洞会引起崩溃,允许攻击者完全控制系统。

  “这些漏洞可以允许一个成功利用这些漏洞的攻击者,在受感染的系统上运行恶意代码,”Adobe表示道。

  VMware的Miller认为,该更新往往伴随着第三方软件制造商的更新,因为他们将Flash嵌入他们的产品中。“一般一发布一个Flash版本,就会看到Chrome也发布一个版本,因为Flash与Chrome是捆绑在一起的,”他补充道。

0
相关文章