微软今天修补了Windows、Internet Explorer、Office和其他软件的34个漏洞,其中15个被该公司标记为“严重”。
微软今天修补了Windows、IE、Office和其他软件的34个漏洞,其中15个被该公司标记为“严重”。
一位专家说,大量的更新——以及微软比平时晚两个小时发布更新的事实——将给企业管理员带来压力。
Qualys首席技术官Wolfgang Kandek表示:“毫无疑问,IT管理人员将不得不选择首先在哪里采取行动。”
在这16个被微软称为公告的更新中,有9个被标记为“关键”,是该公司四步评分系统中最严重的评级,而其余7个被标记为“重要”,是第二最危险的类别。
虽然今天修补的bug数量明显少于微软在四月修复了64个记录这是今年的第二高。这16份公告只是去年4月发布的记录之外的一次。
34个漏洞中有15个被评为“关键”,17个被评为“重要”,还有两个被评为“中等”。
微软选择了16个更新中的4个作为重点,并敦促用户尽快推出这4个更新。
“我们的首要任务是MS11-050, MS11-052, MS11-043和MS11-042,”微软安全响应中心(MSRC)的小组经理Jerry Bryant在今天早些时候接受采访时说。科比列出了这四个人的优先顺序。
在立即部署公告中,ms11 - 050为IE提供了11个补丁,微软和独立专家将其列为首选。
nCircle security安全运营主管安德鲁•斯道姆表示:“这款浏览器高居榜首,就像微软给IE打补丁时一样。”“但这也是IE9的第一次更新,而且微软在发布IE9时或几天后确实有这个漏洞。”
风暴指的是微软的测试过程,通常持续两个月或更长时间。按照这个时间线,IE9在4月份发布的第一个更新补丁将被排除在外。
微软习惯在偶数个月给IE打补丁;上一次发布浏览器安全更新是在今年4月,当时修复了5个漏洞。然而,今天是微软在3月中旬发布的IE9浏览器的第一个关键更新。微软表示,MS11-050的11个补丁中,有4个对IE9有影响。
在微软今天修补的IE 11个漏洞中,有9个可能会被攻击者利用,攻击者只需简单地访问恶意网站即可进行“驱车式”攻击。
ms11 - 052IE也会受到影响,尽管微软将其标记为Windows更新。
布莱恩特说:“这个漏洞存在于Windows系统中,但攻击的载体是通过Internet Explorer。”“但IE9不受此次更新的影响。[这个问题]在IE9发布之前就已经解决了……这是我们向客户传达的‘越新越好’信息的一部分,”Bryant补充道。
Bryant证实,只有IE6、IE7和IE8可以被用来利用MS11-052补丁的漏洞,而不是竞争对手的浏览器。
MS11-043和MS11-042今天也被布莱恩特点名了。前者为Windows处理SMB(服务器消息块)协议的单一漏洞打补丁,可以用于Bryant所说的“浏览和拥有”攻击。
Bryant和Storms说,好的一面是,许多公司已经在防火墙上屏蔽了SMB的出站流量,这将防止被修补的漏洞利用ms11 - 043.
“我认为这在现实世界中可能很难利用,”Storms说。
ms11 - 042更新DFS(分布式文件服务),管理员使用它对位于不同服务器上的共享文件夹进行分组,以修补Windows中的两个错误——一个是关键的,另一个是重要的。微软仅在Windows XP和Windows Server 2003上将该缺陷评为严重缺陷。
“[MS11-042和MS11-043]很有趣,但我认为它们在技术上对攻击者更具挑战性,”Kandek说。
事实上,康德克评级ms11 - 045这是一款针对Excel的8个补丁的升级版,微软Office在Windows和Mac上都包含了这款电子表格软件,它是目前第二重要的系列软件,仅次于面向ie的MS11-050/MS11-052。
坎德克说:“微软只把它列为‘重要’,因为用户需要打开攻击者提供的文件,但我们相信攻击者已经显示出足够多的次数,他们有能力让用户打开诱人的文件。”
Kandek补充说:“如果我是攻击者,我肯定会使用这个,因为用户倾向于信任Excel文件。”
在Excel更新中修补的8个漏洞中,只有一个漏洞对Windows上的新版Excel 2007和Excel 2010有影响;两个影响了Mac上的Excel 2011。
“很明显,更新的Office软件更好、更安全,”斯道姆说。
微软今天还发布了SQL Server的更新,它的前沿2010安全产品,. net框架和Silverlight开发平台,以及包含在Windows Server 2008和Server 2008 R2中的虚拟化管理程序。
June的安全更新可以通过Microsoft Update和Windows Update服务下载和安装,也可以通过Windows Server Update services (WSUS)安装。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇题为“微软修补IE9的关键补丁,Windows漏洞”的文章最初是由《计算机世界》 .