微软今天表示,下周将发布9个安全更新,其中4个是关键的,用于修补Windows、IE、Office、。net和Silverlight的21个漏洞。
与2011年相比,今年2月份的补丁周二将少更新三次,少更新一次。
九个更新中有四个被标记为“关键”,这是微软四步系统中威胁级别最高的,而其他五个被标记为“重要”,这是第二级。所有的关键更新和其中两个重要的将修补程序漏洞,微软承认攻击者可能利用这些漏洞劫持计算机并在个人电脑上植入恶意软件。
今天的新闻中有一件有趣的事预先通知, nCircle security公司的安全运营主管安德鲁·斯道姆(Andrew Storms)说,此次事件对微软最新的服务器操作系统Windows Server 2008 R2的影响最大。
Storms说:“七份与Windows和IE相关的公告适用于Server2008R2,但WindowsXP[32位]只有四份。这又是一个不平衡的月份。”他指的是微软过去声称旧软件比新软件获得更多的安全更新。
这种颠倒的模式最近很流行。Storms在一次采访中说:“如果这种情况持续下去,很快‘不平衡’就不会是不平衡的。”。
另一个迹象是影响Windows XP和Windows 7的公告数量的差异:一个关键更新不适用于10年前的Windows XP,但确实影响了2007年的Windows Vista和2009年的Windows 7。
Storms和其他几位通过电子邮件发言的安全专家一致指出,IE更新是用户首先要部署的更新。
微软每隔一个月就对其浏览器进行一次补丁。
Qualys首席技术官Wolfgang Kandek今天在一封电子邮件中说:“上个月,我们看到攻击者将基于浏览器的攻击整合到他们的工具包中有多快。”“在Patch Tuesday之后仅仅15天,就检测到MS12-004的漏洞。”
MS12-004于1月10日发布,旨在消除Windows Media Player中的两个漏洞,这些漏洞可通过用户浏览恶意网站时触发的“驱动”攻击加以利用。两周后,反病毒公司Trend Micro表示基于浏览器的攻击利用媒体播放器的漏洞已经在传播。
Rapid7的安全研究员马库斯·凯里(Marcus Carey)同意坎德克的观点。凯里说:“这些天来,我们看到了大量来自微软的浏览器补丁,因为研究人员和攻击者已经意识到,浏览器漏洞攻击具有最大的潜在危害,是目前最好的攻击手段。”。
下周二的IE更新将解决所有版本浏览器中的一个或多个漏洞,从十年前的IE6到去年的IE9。Storms指出,IE6的更新被评为“中等”,在微软的排名中排名第三,而新浏览器的补丁将被视为关键或重要补丁,具体取决于版本和操作系统。
Storms说:“我们可以得出的结论是,尽管IE6仍然容易受到攻击,但它可能比其他版本更难找到。”。“但他们无论如何都会修补它的。”
其他更新将解决Visio 2010的漏洞,Visio 2010是Office家族的一个绘图应用程序;SharePoint Server 2010;以及。net和Silverlight框架,这些框架被开发人员用来制作应用程序和网站。
Storms称,计划于下周发布的所有更新似乎都与未解决的安全咨询有关。
微软将在美国东部时间2月14日下午1点左右发布这九个更新。
“那是情人节,”斯托斯说。“我敢打赌,一些人会把它当作他们忘记的借口。”
除非微软在下周二之后出人意料地发布安全更新——这是不可能的,因为它在2011年全年只发布了一个“带外”补丁——否则下周的这批补丁将是微软在其Windows7和InternetExplorer9在今年的年会上面临漏洞攻击之前的最后一批Pwn2Own全球黑客大赛,将于3月7日开始,两天后结束。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@吉泽尔在…上谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
看见格雷格·凯泽的更多文章.
了解更多有关安全性的信息在计算机世界的安全主题中心。
这篇文章“微软下周将为Win7发布比XP更关键的补丁”最初由计算机世界 .