微软今天修补了Windows、Exchange和Office的25个漏洞,其中9个被标记为“严重”,这是该公司威胁级别最高的一个。
但是,研究人员敦促用户立即申请两个11次更新,这解决Windows Media Player和重要的视频文件格式主要的bug,阻止偷渡式,将在网络上迅速传播攻击一致。
该补丁还修复了8个被认为是“重要”的缺陷,这是微软四阶段评分系统中倒数第二步,以及另外8个被标记为“中等”的缺陷。Five of today's 11 update packages were marked critical, while five were labeled important and the remaining one as moderate.
安全专家针对用户的注意力吸引到一对更新的在Windows中解决问题的媒体基础设施。
“MS10-026和MS10-027,其中盖[的]的DirectShow [编解码器]和Windows Media Player,是那些看,立即”安德鲁风暴,nCircle公司在网络安全的安全运营总监说。“这是一个经典的电影对恶意软件的情况下,在你观看视频,但实际上被劫持。”
MS10-026微软的建议说,影响Windows 2000, XP, Vista和服务器2008,但没有更新Windows 7的或Windows Server 2008 R2,以及可用于如果劫持PC漏洞的交易“用户打开包含MPEG Layer-3音频流的特制的.avi文件,”微软表示。
MS10-027,在另一方面,补丁Windows Media Player中一个关键的错误,微软通过默认的音频和视频播放软件,在Windows 2000和XP。
“这些是对我们跳了出来,过了两下,” Qualys公司漏洞经理研究室阿莫尔Sarwate说。
“他们有一个驱动器,通过攻击向量,其中,如果你点击一个链接在一封电子邮件或去[恶意]网站,你拥有的,补充说:”小齐来,Qualys公司漏洞研究主管。
其他研究人员,包括Rapid7的乔希·亚伯拉罕(Josh Abraham)和Shavlik的数据和安全团队经理杰森·米勒(Jason Miller),把同样的两项更新放在了待办事项的首位。亚伯拉罕说:“根据微软提供的信息,这些东西绝对有可能被广泛利用。”
“互联网是一个巨大的媒体中心如今,补充说:”米勒。“这些都是很好的指标,因为首先,很多人都不会升级[Windows媒体播放器]第二,大多数人观看视频时,他们是在网上,不是在办公室?来吧....当我走在这里,每个人看视频。”
Qualys的Lai表示同意。“MS01-027只需要一个脚本就可以被利用,DirectShow和Media Player都曾被利用过。我给它们一周的时间,然后我们才能在野外看到它们。”他说。
微软nCircle的风暴称,该公司已经多次修补了由MS10-026解决的易受攻击的编解码器DirectShow和Windows Media Player,后者是MS10-027补丁。风暴称,每个组件在2009年都进行了三次更新。“微软经常打补丁苹果已经修复QuickTime的,“风暴说,”但是,这并不让我感到吃惊。基于多媒体与很多是消费者在互联网上做什么,有很多[研究者]对这些组件的眼球。”
第三媒体相关的更新补丁的Windows 2000中的实现Windows Media服务的一个严重漏洞。虽然该服务默认情况下不启用,赖说,该漏洞可能成为黑客热衷于编写蠕虫的目标。“这是一个蠕虫攻击的错误,如果你安装了这个,”他说。
Windows 2000中,并计划从支持今年7月全面退役,目前只有占有全球操作系统使用的市场.06%,根据从网络分析供应商NetApplications.com最新的数据。
今天其他更新补丁微软的出版商和矢量绘图软件应用程序——两个部分的办公套件的家庭——Windows数字签名功能,Windows内核,SMTP服务的受欢迎的交换电子邮件服务器软件的一部分,和ISATAP(园区内的隧道自动寻址协议)在大多数版本的Windows组件。
研究人员对什么拆分的补丁应用MS10-026和MS10-027后。
“MS10-019“这既有趣又令人不安,”米勒说,他谈到了Authenticode验证补丁,这是Windows用来验证合法软件的加密和数字签名服务。微软表示,利用这两个关键漏洞的黑客可能“导致Windows安装或运行任意代码”。攻击者可以安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。”
赖说,他预计攻击者可以显示在验证码错误浓厚的兴趣,因为利用的缺陷将让它们伪装的恶意软件来自微软等作为数字签名的软件。“他们不会被利用很快的任何时间,”他说,并指出部分利用机制将难以工艺,“但也许内的几个月,我们会看到一些。这真令恐惧[进入用户什么是他们的机器上,什么是真正的软件,什么是不]“。
虽然今天的补丁星期二是在范围上比略小二月份的- 这吹嘘13个安全公告和补丁26级的错误 - 它仍然是巨大的,研究人员同意。
“更重要的是,它是分散的,”沃尔夫冈坎德克(Wolfgang Kandek)说,他是Qualys的首席技术官。“不仅有大量的公告,还有一些报道范围非常小,只影响到一小部分用户。因为它非常分散,这对管理者来说是一种不同的挑战。”
今天的补丁包括微软在2009年11月和2010年3月发布的两个突出的安全建议。2009年11月的警告是由a在SMB错误(服务器消息块),微软制造的网络文件和打印共享协议,在Windows 7和Windows Server 2008 R2。当时,这个漏洞是微软确认的第一个Windows 7零日漏洞。
3月份的报告对Windows XP用户提出了警告不要按F1键波兰安全研究员Maurycy Prodeus报告VBScript存在漏洞,攻击者可以利用该漏洞劫持运行IE (IE)的个人电脑,微软对此做出回应。
微软的更新并不是今天唯一给用户带来冲击的。Adobe还发布一个更新它的Reader和Acrobat PDF软件修复了15个漏洞,其中大多数是关键性的。甲骨文将提供今天16个补丁,Sun Microsystem的软件和另一个软件47为自己的数据库产品。
本月的微软安全更新可,以及通过Windows服务器更新服务下载,并通过Windows Update和Microsoft Update服务安装。
格雷格·凯泽涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer或订阅格雷格的RSS源。他的电子邮件地址是gkeizer@ix.netcom.com。
了解更多关于安全在计算机世界的安全知识中心。
这个故事,“微软阻止电影到恶意软件的攻击”最初发表计算机世界 。