微软今天表示,它将在下周发布8个安全更新,以修补Windows、IE和其产品组合中其他几个产品中的23个漏洞。
该公司在一份报告中草拟了即将发布的补丁提前通知周二的阵容。
在微软称之为“公告”的八项更新中,有两项将被评为“关键”,这是其评分系统中最严重的威胁排名。其余六个将被标记为“重要”,是下一个最严重的标签。该公司承认,大多数公告,包括六个被认为重要的公告中的四个,都是为了修补漏洞,攻击者可以利用这些漏洞执行恶意代码,并有可能霸占计算机。
微软表示,这八次更新将修复23个安全漏洞。该公司通常会在偶数月内提供大量更新,修补更多漏洞,而在奇数月内则会减少负载。
例如,微软在8月份发布了13个更新,修补了22个漏洞,而在9月份发布了更新五次更新这消灭了15只虫子。
这个月的数字略低于双数月份的平均水平:今年到目前为止,微软在这两个月平均修补了26.2个漏洞。在奇数个月里,微软平均修复了9.4个漏洞。
nCircle security的安全运营总监安德鲁·斯托姆(Andrew Storms)说:“2010年,从奇数到偶数的月份的上下变化更为明显。”。“今年,这些数字最近更为平缓。几乎每个月都是两位数。因此IE确实是一个区别。我们知道我们每隔一个月就会收到一次IE更新。”
Storms是对的:自7月以来,微软在奇数月平均修补了18.5个漏洞,在偶数月修补了22.5个漏洞。
他和其他安全专家几乎每隔一个月就会给出建议,他说,IE的更新可能是大多数用户应该首先部署的。这次更新是微软评为关键的两个版本之一,它影响到所有当前支持的浏览器版本,包括今年的IE9。
Storms说:“我怀疑微软这个月是否会报道IE9如何比其他浏览器更安全。”他指的是微软为新版本更新指定的关键标签。
另一个关键公告将修补从2001年的XP到2009年的Windows7的每个Windows版本所包含的.Net framework中的一个或多个漏洞。同样的更新也将填补Silverlight4开发工具的漏洞。
Rapid7的安全研究员Marcus Carey指出,.Net和Silverlight更新听起来与MS11-039,这是微软在6月份发布的一份重要公告。
Carey在一封电子邮件中说:“当开发人员寻找产品中披露的漏洞时,他们通常会发现导致相同类型漏洞的类似漏洞。”。“我希望这一点的含义与MS11-039相似:具体来说,服务器端和客户端攻击可能是通过.Net或Silverlight实施的。”
其他更新将修补Microsoft主机集成服务器中的拒绝服务问题,该服务器是连接基于Windows的网络与IBM大型机和中端AS/400系统的网关,该公司VPN(虚拟专用网络)Forefront Unified Access gateway 2010中的远程代码缺陷允许企业员工在办公室外与公司应用程序连接的平台。
微软最近平息了一个漏洞在2010年11月的VPN平台上。
上个月,微软无意中发布的信息九月份的安全更新提前了四天。尽管它发现了令人尴尬的错误,并在一小时内从网站上删除了这些页面,但一些安全研究人员在删除这些页面之前抓取了副本。
Storms预计本月不会再有类似的表现。
八个更新将在美国东部时间10月11日下午1点左右发布。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@吉泽尔,在谷歌+或订阅格雷格的RSS提要. 他的电子邮件地址是gkeizer@computerworld.com.
了解更多有关安全性的信息在计算机世界的安全主题中心。
这个故事“微软将在下周发布IE漏洞修复”最初由计算机世界 .