微软填补了15个漏洞,包括关键的驱动缺陷

研究人员说,期待很快利用Windows的嵌入字体缺陷

高级记者,《计算机世界》 |

微软今天修补了Windows、Windows Server、Excel和Word中的15个漏洞,其中包括一个可能会被黑客迅速利用的漏洞。这些都不会影响微软最新的操作系统Windows 7。

在周二的6次安全更新中修复的15个漏洞还不到这次安全更新的一半记录34上个月,微软在13份单独的公告中进行了修补。在今天的15个bug中,有3个被微软贴上了“严重”的标签,剩下的12个被贴上了“重要”的标签,这是微软四步严重程度评分系统中倒数第二的等级。

专家一致认为用户应该关注ms09 - 065首先,也是最重要的。这次升级被评为关键级,影响到所有仍然支持的Windows版本,除了Windows 7和它的服务器兄弟,Windows server 2008 R2。

nCircle网络安全公司的安全运营主管安德鲁·斯图斯(Andrew Storms)表示:“Windows内核漏洞将会抢走这块蛋糕。”攻击矢量可以通过Internet Explorer驱动,这是用户不会被通知或提示的例子之一。这绝对是一场汽车袭击。”

安全公司Qualys的漏洞研究主管里奇·赖(Richie Lai)对此表示赞同。“任何运行IE (Internet Explorer)的人都有风险,尽管缺陷并不在浏览器中,而是在Win32k内核模式驱动程序中。”

storm和Lai都提到了MS09-065中被标记为“关键”的一个bug,这个bug实际上修补了三个漏洞。据微软称,Windows内核无法正确解析嵌入的OpenType (EOT)字体,这是一种为Web页面设计的紧凑字体。然而,EOT字体也可以用在Word和PowerPoint文档中。

黑客还可以将Word或PowerPoint文件附加到电子邮件中,然后诱使用户打开这些文件,从而发动攻击。

用户可以通过禁用IE对嵌入字体的支持轻松地阻止最有可能的攻击,而不是修补这个问题。“这是一个低影响的缓解,”赖说。“可能发生的最糟糕的情况是,一些网站可能看起来很丑。”他的建议仍将使个人电脑易受恶意Word或PowerPoint文件的攻击,微软在对该漏洞的评述中也提到了这一点。

因为Windows 7和Windows Server 2008 R2并不影响ms09 - 065更新,风暴和赖认为微软抓住了错误之前,结束了最后的代码,或释放到生产(RTM)构建、操作系统的,现在只是绕过堵洞在Windows 2000, XP和Vista, 2003年和2008年服务器以及服务器。

“Windows 7发布候选版[RC]可能很脆弱,”storm说,他引用了微软的政策,即在最终版发布后不为操作系统预览版提供安全更新。“这就是为什么你看不到微软打补丁的Windows 7 RC或Beta版,”storm说。“对于任何还在运行RC的人,他们应该注意并升级到RTM。”

但是,当storm推测微软知道EOT字体缺陷是一个安全问题——直到现在才给老的Windows打补丁——Lai认为微软直到最近才意识到它也是Windows 7之前版本的安全漏洞。“我认为他们在[Windows 7]开发周期的代码清理中修复了这个错误。实际上最近才公开披露,然后他们在其他窗口打了补丁。”

微软承认,在今天的补丁发布之前,EOT漏洞的信息已经公开。“虽然最初的报告是通过负责任的披露方式提供的,但该漏洞后来被另一方公开披露,”附带的咨询报告称。

风暴预计会看到攻击者跳到EOT漏洞上。他说:“这将是未来几周值得关注的一部电影,不仅因为它的新奇,还因为它可以通过简单的IE,以及Word和PowerPoint文件加以利用。”

微软还发布了重要的更新Vista和Server 2008,以及用于Windows 2000服务器。对于后者,它在实现中存在一个bug许可证日志服务器是一个最初设计用来帮助客户管理服务器客户端访问许可(CAL)的工具,storm敦促使用这个旧操作系统的用户立即应用这个补丁,即使计算机可能已经得到了很好的保护。

“Windows 2000服务器默认启用了日志服务器,但这些系统可能是在多个防火墙后,运行[Windows 2000服务器]的人相当清楚这是一个老版本的事实,并将采取相应行动。”

Excel和Word今天也收到了补丁。在Excel in中解决了8个漏洞ms09 - 067和一个词ms09 - 068。这两次更新也影响了Mac版本Office 2004和Office 2008。

“这些都是文件格式的漏洞,我们见过很多次,”说风暴,注意在后续bug在年长的即时消息,新的基于xml格式的二进制文件格式,而不是在Office 2007,微软推出Windows和Mac Office 2008。

本月的安全更新可以通过Microsoft Update和Windows Update服务,以及Windows Server Update服务下载和安装。

这篇文章,“微软堵住了15个洞,包括关键的驱动bug”最初是由《计算机世界》

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对最重要的话题发表评论。
相关:

高级记者Gregg Keizer为计算机世界报道Windows, Office, Apple/enterprise,网络浏览器和网络应用。

版权©2009足球竞彩网下载

工资调查:结果在