微软今天发布了7个安全更新,修补了Windows系统的8个漏洞,并提供了一个用于保护Web应用程序免受跨站点脚本攻击的代码库。
正如专家所料,今天微软发布了补丁在最后一分钟被拉了出来2011年12月。
在这七个更新中,只有一个被标记为“严重”,这是微软的最高威胁排名;其他的被标记为“重要”。在这八个漏洞中,微软将七个列为重要漏洞,一个列为关键漏洞。
ms12 - 004,它可以堵住Windows Media Player上的两个漏洞,是安全专家一致选择的第一个升级部署。
nCircle security安全运营主管安德鲁•斯道姆(Andrew Storms)指出:“这是一场飞车攻击。”他指的是用户浏览恶意网站就会引发攻击。这个bug存在于Media Player对midi格式文件的解析中,存在于Windows XP、Vista、Server 2003和Server 2008中,但不存在于最新版本Windows 7和Server 2008 R2中。
“看起来Windows 7的人已经把它修好了,”斯道姆说。
其他人也将MS12-004标记为要立即应用的更新。
Qualys的首席技术长冈德克(Wolfgang Kandek)说,MS12-004修补的两个漏洞中的第二个是Windows Media Player的封闭字幕功能。Kandek猜测,微软认为这个漏洞很重要,而不是像MIDI文件格式漏洞那样严重,“因为大多数人默认不启用这个漏洞。”
“我也坚持使用MS12-004,”VMware研发经理杰森·米勒(Jason Miller)说。
康德克和米勒的名字ms12 - 005如有更新,请尽快安装。
这次更新修补了微软Office文档ClickOnce功能中的一个漏洞。微软给该漏洞的可利用性指数评级为“1”,这意味着该公司希望在未来30天内出现可靠的利用代码。
Kandek指出,微软认为MS12-005是重要的,而不是关键的,尽管它可能被用来在机器上植入恶意软件。坎德克说:“他们这样做是因为需要一些用户的干预。”“用户需要打开一个Office文件,然后点击一些东西。”
Miller还认为MS12-005很有趣,但反对微软的可利用性评级,认为攻击者实际上利用该漏洞的可能性不大。
米勒说:“有些人可能会弄明白,但我猜大多数攻击者都不熟悉ClickOnce技术。”要在未打补丁的电脑上利用这一漏洞,黑客必须知道或学会如何创建ClickOnce应用程序,然后将其嵌入Word或PowerPoint等文档中。
其他吸引专家眼球的公告包括ms12 - 006和ms12 - 001该公司给Windows打了补丁,以阻止使用可用的黑客工具进行的攻击,并阻止针对较老网络应用程序的攻击。
ms12 - 006固定SSL(安全套接字层)的一个长期存在的问题3.0和1.0 TLS(传输层安全)在去年9月公布的Windows一对研究人员建立了野兽,或者浏览器利用SSL / TLS,“黑客工具,自2003年以来的首次实际利用已知的缺陷。
微软本来打算在上个月消除BEAST所利用的漏洞,但由于德国企业开发公司SAP报告了兼容性问题,就在12月的本周二补丁发布之前取消了该版本。
尽管微软上周没有确认今天将发布BEAST漏洞,但大多数研究人员都把钱押在了它的发布上。
MS12-001也不寻常:它是首先是微软作为“安全特性绕过”漏洞。
正如一些专家上周猜测的那样,今天的MS12-001修补了Windows,以确保被称为“SafeSEH”的反攻击技术不能被攻击者绕过,攻击者的目标是用Visual c++ . net 2003创建的旧应用程序,Visual c++ . net 2003是2003年4月发布的一个开发工具集。
使用更高版本的c++ . net构建的应用程序不受此漏洞的影响。
storm说,微软并没有要求应用程序开发者重新编译他们的工作,而是对Windows进行了调整。“Windows现在知道如何正确读取元数据,”斯道姆说。
微软表示,Windows XP Service Pack 3 (SP3)是这个已有10年历史的操作系统目前唯一支持的版本,不会受到这个漏洞的影响。但包括Windows Vista、Windows 7、Server 2008和Server 2008 R2在内的新版本则是。
米勒对黑客利用这一漏洞的可能性也持悲观态度。
“他们将不得不找到一个[用c++ . net 2003编写的]应用程序,然后将它与另一个漏洞打包,”Miller说。他补充说:“它们必须捕食才能找到(一个目标),这是很罕见的。”因为这种语言已经存在,因此也是用这种语言编写应用程序的年代。
微软发布了更多关于MS12-001的信息安全研究与防御今天的博客。
除MS12-007外,12月份的安全补丁可以通过Microsoft Update和Windows Update服务以及Windows Server Update services下载和安装。
的ms12 - 007它影响了第三方开发人员用来转移跨站脚本(XSS)攻击的库,目前只能从微软的下载中心手动下载。
微软在附带的漏洞报告中表示:“一旦测试完成,我们还将通过其他标准分发方法提供更新,以确保通过这些渠道分发能够成功。”
米勒是可疑的。
“他们以前说过,”米勒说,“但我从未在Windows更新中看到过。这些都是很容易被顾客买到的。”
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“微软修补关键Windows驱动漏洞”最初是由《计算机世界》 .