Microsoft今天发布了一个记录14安全更新,以修补Windows,Internet Explorer(IE),Office和Silverlight中的记录34漏洞。
“不要纠结于细节,”nCircle security的安全运营总监安德鲁·斯道姆(Andrew Storms)建议道。他承认,仅仅是更新和补丁的数量就很容易让用户受不了。
补丁管理供应商Shavlik Technologies的数据和安全团队经理Jason Miller表示:“这里有太多的补丁,你可以往不同的方向去做。”“这可能归结为人们认为的最大的攻击载体。”
没有人质疑今天补丁的大小。八月更新是由安全公告的数量最大的,并等于上月份的单月记录,这是去年10月的第一个设置并于2010年6月重复。本月的收藏率也将于2009年10月的最关键公告的纪录。。
在34个修复漏洞中,微软额定值14为“至关重要”,该公司的四步评分系统中的最高威胁排名。将十七个被钉在“重要”中,三个被标记为“中等”。
与微软向客户抛出了近30多个补丁,研究人员在人们应该先申请哪些更新的问题上存在分歧并不奇怪。
“我必须放ms10 - 056在顶部,“暴风雨说,参考办公室的三个补丁更新,其中包括在Office 2007中包含一对关键漏洞。”所有人都需要做的是预览窗格打开[在Outlook 2007中],只看一个畸形RTF文件,“Storms添加。
与大多数通过电子邮件传递的漏洞不同,这些漏洞不需要收件人打开附件,人们知道这样做是有风险的。但是正如storm指出的那样,大多数用户会不假思索地预览电子邮件信息。斯道姆说:“我认为这与飞车事故属于同一类。”“我可以想象有人在垃圾邮件引擎中插入RTF文件,然后就发疯了。”
虽然其他研究人员同意暴风雨是MS10-056是危险的,但他们提名不同的更新 - 或更新组合 - 对于他们本月的最佳选择。
“我担心两个与媒体相关的更新,ms10 - 052和ms10 - 055,“米勒说。
这些更新都被认为是关键的,解决了Windows中包含的两种编解码器(用于压缩和解压缩视频数据的软件)中的一对bug。
对米勒来说,视频漏洞是犯罪分子的目标。他说:“他们想找到(他们的攻击)和媒体的最大市场,而社交媒体现在是如此庞大。”“每个人都在看东西,而不是阅读东西。”
Miller表示,他预计攻击者在未来月份利用编解码器缺陷,令微软的赌注也使得其剥削性指数评定为“1”的漏洞,这意味着它预计未来30天内的主动漏洞。
Wolfgang Kandek,CTO在Qualys,借助于米勒,但在其他公报中集中在内,包括六个补丁,即更新,ms10 - 053,编解码器更新。
Kandek说:“今天有这么多的更新,优先次序很重要。”“由于目前大多数攻击都是通过浏览器进行的,我们已经把几个更新放到了一个应该首先应用的小组中。”
Kandek为该修补程序添加了三个更新,因为它们也可以通过IE或其他浏览器进行利用:ms10 - 049那ms10 - 051和ms10 - 060.
第三个补丁修补了Silverlight的两个关键漏洞,Silverlight是微软与Adobe的Flash的竞争对手。
“Silverlight在终端用户系统上几乎和Adobe Reader一样受欢迎,”Kandek说,并引用了Qualys从其新的“browsercheck.“插入式检查服务。Kandek表示,Silverlight安装在所有PC的大约60%上。
“这是Silverlight的第一个主要安全更新,”米勒底座,磨刀师傅。“安装很容易,很多用户甚至都不记得它在他们的机器上。此外,只访问网站意味着您已被剥削。”
但Rapid7的安全研究员乔希·亚伯拉罕(Josh Abraham)采取了不同的策略。在他看来,最大的威胁是三合一ms10 - 054更新,该更新是在SMB(服务器消息块)中修复了一个关键的和两个重要的错误,Microsoft制作的网络文件和打印共享协议,蠕虫在过去杠杆才能感染PC。
“这将是”蠕虫“这一点,”亚伯拉罕被录取的,其公司还管理Metasploit开源黑客工具包。“但如果你可以提出一个可靠的漏洞利用,那么让你能够在没有身份验证的情况下利用漏洞,这将是值得的。”
亚伯拉罕指出,最脆弱的目标 - Windows XP SP3和Windows XP X64 SP2 - 在两家企业和消费者中都广泛部署,即使它们近九岁。Windows XP SP2也可能是从支持退休亚伯拉罕说,上个月不再收到补丁,也很脆弱。“所以你也要关注那些根本没有被修补过的东西。”
他补充说,Rapid7和Metasploit将资源投入为SMB错误开发可靠的利用。“这已经很高的请求已经很高,”亚伯拉罕说。
米勒同意,SMB漏洞可能是危险的,但看着光明的一面。
“你听到了三个字母的三封信's-m-b'和你想到的第一件事是'蠕虫',”米勒说。“这可能是糟糕的,但现在,它看起来很可能是否认服务。这并不意味着研究人员无法深入了解它们是否可以创建可靠的漏洞。但补丁现已上市。“
如果需要一个星期,甚至两个研究人员都像亚伯拉罕这样的研究人员可以设计一个“令人讨厌的”漏洞,那就让每个人都有很多时间补丁,米勒继续。“用这个,它在现在开始的时钟,”他说。“而且你不想失去这场比赛。”
本月的安全更新可以通过Microsoft update和Windows update服务以及Windows Server update服务下载和安装。
格雷格·凯泽为《计算机世界》报道了微软、安全问题、苹果、网络浏览器和通用技术突发新闻。在Twitter上关注Gregg@gkeizer或订阅格雷格的RSS饲料.他的电子邮件地址是gkeizer@ix.netcom.com..
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事“微软提供怪物补丁批处理”最初发布Computerworld. .