微软今天发布了8个安全更新,修补了Windows、Internet Explorer (IE)、。net Framework、Silverlight和其产品组合中的23个漏洞。
其中两个更新被评为“严重”,这是微软最严重的威胁排名,而另外六个更新被评为“重要”,是下一个最严重的威胁排名。
除8个被标记为IE的漏洞外,所有漏洞都影响了一个或多个版本的微软客户端或服务器版本的Windows。在总共23个错误中,9个被评为“关键”,13个被认为是“重要”,还有一个被标记为“中等”。
这两个关键的更新——MS11-081即,MS11-078。net和Silverlight——这两家公司都是由微软和外部研究人员要求首先申请的。
“IE名列榜首并不令人意外,”Storms说。微软通常每隔一个月就更新一次浏览器,最后一次更新是在8月份。
IE更新中八个关键漏洞之一仅影响了去年3月发布的IE9。在此之前,微软已经打了IE9补丁,但这是它第一次需要修复仅针对该版本的缺陷。
IE9唯一的漏洞存在于该浏览器使用的JavaScript DLL(动态链接库)版本中。
与往常一样,黑客只要说服用户转向恶意网站,就可以利用IE漏洞进行典型的“下载驱动”式攻击。
其他研究人员同意应立即部署MS11-081。VMware研发团队的杰森·米勒(Jason Miller)说:“每次你看到这些[IE]更新,你都需要立即打补丁。”
排在第二位的是。net和Silverlight的升级,前者是一个以windows为中心的软件框架,后者是一个用于内容密集型网站和在线应用程序的微软应用程序框架。
与IE更新一样,MS11-078也可以被攻击者利用,他们欺骗用户访问恶意网站。更糟糕的是,黑客可能会利用这个漏洞,不仅针对IE用户,还针对运行带有Silverlight插件的浏览器的Mac用户,或在苹果的Safari、谷歌的Chrome或Mozilla的Firefox中运行该插件的Windows用户。
“根据我对公告的了解,它是跨浏览器和跨平台的,”米勒说。
微软单独更新了Mac Silverlight插件;用户应立即下载并安装最新版本Silverlight网站.
风暴号强调MS11-078是因为它的新奇。“我们已经习惯了IE漏洞,但是[MS11-078]有三种不同的攻击载体,而网络托管具有很高的开发潜力,”Storms说。
如果一个Web托管环境允许用户上传定制的ASP。NET应用程序,攻击者可以上传恶意的asp.net。NET应用程序使用此漏洞来突破用于阻止ASP. NET的沙箱。微软在其附带的公告中说。
Storms说,他可以看到攻击者试图利用这一点来危害互联网服务提供商(ISP)的服务器。
Miller和Storms都指出,微软这个月也恢复了“DLL加载劫持”。DLL加载劫持,有时称为“二进制预加载”,描述了在2010年8月首次披露的一类错误。自去年11月以来,微软一直在为其软件打补丁以解决这个问题。这个问题可以通过欺骗应用程序加载一个与所需的动态链接库(DLL)同名的恶意文件来加以利用。
米勒说,到目前为止,微软已经发布了17个安全更新来修复其软件中的DLL加载劫持问题。
今天的添加补丁Windows媒体播放器和可访问性组件旨在让残疾人也能使用Windows。
米勒提醒用户,微软发表一个工具一年多以前,它阻止了基于DLL加载劫持的攻击。
十月份的安全补丁可以通过Microsoft Update和Windows Update服务下载和安装,也可以通过Windows Server Update services安装。唯一的例外是MS11-079,必须手动从该公司下载下载中心.
格雷格·凯泽(Gregg Keizer)报道了微软、安全问题、苹果、网络浏览器和Computerworld的一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要. 他的电子邮件地址是gkeizer@computerworld.com.
metatag数据
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“微软对IE的关键补丁,Silverlight的驱动漏洞”最初是由《计算机世界》 .