微软今天表示,将推出四个安全更新,以客户下周将包括在Windows XP和Office 2003,无论是定于从周二的安全支持退休的缺陷最终公开的修复。
四次更新,两人标记为“危急”,微软的最严重的威胁等级,以及另一对被标记为“重要”,下一步倒在公司的四个部分的评分系统。
所有四个,然而,被标记在今天的预告用这意味着如果他们成功利用这些漏洞的攻击者可以劫持未打补丁的PC短语“远程代码执行”。微软经常降级远程代码漏洞的重要类别时,有缓解因素 - 比如,要求用户通过点击多次警告或偏离标准配置 - 防止易开采。
一个四方将直接影响Windows XP - 所有的Windows版本,实际上,包括最新的Windows 8.1 - 而另一个也将影响13岁的操作系统,因为它会修补Internet Explorer的所有版本,包括IE6,其面临退休,也和IE8,最流行的微软浏览器XP。
在其退休前夕修复XP的少数并不出乎安德鲁风暴,在旧金山的安全厂商CloudPassage的DevOps主任。
“我想很多人都作出关于生命的终点为XP无事生非,说:”风暴在通过即时通讯进行了采访。“其中之一是幻觉,我们会看到一辆翻斗车满最后一分钟的XP的下周补丁。这不像微软在一堆已知的bug的坐了很长一段时间,并释放他们所有的任意日期。拿PWN2OWN例如:我们几乎没有看到一堆IE浏览器漏洞的前压扁月“。
同样在下周的石板:为A修复Word中的漏洞,微软证实了3月24日使用RTF格式不正确(富文本格式)文件野外被剥削。微软评为字更新为关键。
Word 2003中,Word 2007中的Word 2013和Word 2013 RT的Windows和Word 2011在OS X - - 所有版本的Word将在下周修补推翻的bug。
“由于问题的影响Office 2003和它一样,XP,进入EOL [生命的尽头]下周,他们几乎被要求发布补丁,说:”风暴。“离开在野外已知的零日漏洞将是坏消息。”
Office 2003中,这在2003年10月推出,将支持下周二与Windows XP一起退役。
其他关键更新补丁将除了IE10,它在2012年推出的Windows 8 IE的所有受支持版本,但也被推到Windows 7的用户在2013年2月。虽然较新的代码往往是从老年软件漏洞免疫,但事实上,旧的IE6,IE7,IE8和IE9将被修补,和最新的浏览器IE11,将过,是不寻常的。
风暴并未对为何IE10不影响任何想法。“我没有见识还是不错的猜测,什么关于IE10特别之处,”他说。
他建议微软客户尽快应用IE更新。“这几乎总是“IE第一,”他说。“那么,毫无疑问 - 适用这道修复弹指一挥间。”
公告1,将字打补丁,更新也将影响SharePoint Server 2010和SharePoint服务器2013年,协同软件很多企业已经部署到支持Office。由于SharePoint服务器运行一个叫做服务“字自动化服务”,它会自动打开多种格式,包括RTF文档,它也可以被利用,可能蔓延整个公司的攻击代码。
哎呦。
“这听起来像是一个非常有趣的可能的攻击向量,”观察风暴。“我们不是总是告诉我们得到不只是自动打开一切吗?”
微软将发布4月8日的安全更新围绕下午1时。ET。
格雷格·科泽尔涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer, 上Google+的或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
说明:微软的死对XP倒计时不断tickin'向周二的退休日期。(图片提供:微软。)
了解更多关于端点安全在Computerworld的端点安全主题中心。
这个故事,“微软草图出来下周最终的Windows XP安全更新”最初发表计算机世界 。