微软今天发布了在Windows,IE浏览器(IE),办公室和其互联网服务器软件补丁漏洞22 12次安全更新。
一位分析师怀疑十几更新之一被释放,以防止黑客在定于四周开始比赛的Pwn2Own利用Windows 7操作系统。
“我认为这是微软的一个战略举措,以防止[研究人员]利用这个漏洞作为绕过ASLR的机制,”nCircle安全运营主管Andrew Storms说ms11 - 009更新,在Windows中的JScript和VBScript脚本引擎修补的bug。
在Pwn2Own,将于3月9日至11日举行的CanSecWest安全会议上,攻击者将利用未修补的漏洞和相应的漏洞试图攻击黑客浏览器运行在Windows 7上。要做到这一点,他们必须避开ASLR——即“地址空间布局的随机化”——Windows 7的两种反利用技术之一。
12个更新的三个被标记为“危急”,微软的最严重的威胁等级。其余九人标明“重要”,第二最高评级。
微软将这三份关键的公告放在了聚光灯下,告诉用户尽快安装它们,而几名安全研究人员点出了其中的两份。
Shavlik技术公司的数据和安全团队经理Jason Miller说:“这个月有很多公告,但是用户应该立即给MS11-003和MS11-006打补丁,因为它们都解决了零日漏洞。”
ms011 - 003法国安全公司Vupen发布了一份报告,称所有版本的IE都存在漏洞。几周后,微软于2010年12月22日承认了这一漏洞。不久之后,微软警告用户,攻击者正在利用这个漏洞。
根据风暴,微软称它的IE漏洞。“他们是正确的目标与这一个,”他说,指的是微软的决定推迟紧急情况,或“出带外,”更新早。“这是很好的循环。”
杰里·布赖恩特,与微软安全响应中心(MSRC)的一组经理指出,该公司的反病毒小组,追踪攻击使用其自己的数据以及该客户所提供,呈现量袭击激增仅在过去一周左右。
“微软做了正确的事情[通过等待],”米勒说。“我们都希望漏洞固定的,但我不想[微软]急于出任何东西。”
与此同时,ms11 - 006修复了Windows XP中如何,Vista中,Server 2003和Server 2008的渲染文件夹内的缩略图像一个严重的安全漏洞。该缺陷是在2010年十二月中旬在韩国安全会议上透露,微软发表了咨询1月4日当时,该公司表示,它不会释放出的带补丁的该问题,无论是。
第三个关键的更新,ms11 - 007,是在十二月发出一个微软的翻版。
就像从两个月前的更新,今天的是Windows的OpenType压缩字体格式(CFF)驱动程序,这是竞争对手的浏览器,包括火狐,Chrome,Safari和Opera中使用,来渲染字体。黑客可以利用个人电脑简单地通过欺骗用户访问一个恶意网站运行采用了经典的驱动通过攻击这些浏览器之一。
IE用户免受此类攻击安全的,因为微软的浏览器不依赖于有缺陷的驱动程序来渲染字体。
据Shavlik的米勒说,安装MS11-007补丁将保护运行非微软浏览器的个人电脑。米勒说:“在今天的公报中,这是非常重要的。”
这得到了风暴和米勒的关注另一个更新是ms11 - 004,其中修复了IIS(互联网信息服务),微软的Web服务器软件的FTP(文件传输协议)组成一个单一的错误。
该补丁受影响的Windows Vista中,Windows 7,Server 2008和Server 2008 R2中,而不是旧的XP或Server 2003。
尽管微软早些时候表示,攻击者无法利用IIS漏洞在目标PC上运行恶意代码,但今天看来,它似乎有所倒退。
“进一步的研究表明,它可能因为如果DEP [数据执行防止]和ASLR防护被绕过来利用此漏洞,”李成云楚和马克Wodrich,二MSRC的工程师说,在博客今天。“但是没有漏洞已经出现在野外,没有攻击代码已经被公布于众。”
在今天接受采访时,科比表示,虽然微软意识到的尝试,以充分利用IIS漏洞,公司的工程师一直没能找到一种方法来回避ASLR,一个必要的前提条件妥协攻击。
米勒敦促Windows用户保持密切注视的IIS漏洞。“任何时候,微软放[输出] [安全研究和防御]博客上的东西,你需要注意的是,”米勒说,讲的是楚Wodrich岗位。
现在的安全补丁可以通过Microsoft Update和Windows Update服务,以及Windows Server Update服务下载和安装。
Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多关于安全在计算机世界的安全主题中心。
这个故事,“微软提供的补丁‘大月’,quashes 22个臭虫”最初发表计算机世界 。