江西广告网

标题: 微软年终发布11个bug补丁 [打印本页]

作者: 纸老虎    时间: 2008-12-4 10:12
标题: 微软年终发布11个bug补丁

  最近一次批量修正Windows和IE中的7个关键缺陷,阻止了2个0-day漏洞。

  微软公司近期发布了7个安全公告,弥补了Windows、Internet Explorer, Windows Media Player以及操作系统其它部分中的11个漏洞。其中2个bug已经被攻击者探测到,微软对此进行了确认。

  在7个升级中,3个标定等级为关键——这是微软所使用的最高等级——其余的4个标记为重要,是微软公司4级评分系统中第二高的级别分类。

  3个关键公告中,修正了Windows媒体播放器和IE所使用的Windows媒体格式运行时,DirectX中的7个不同的漏洞,今天一些安全专家说,这些漏洞需要尽快修正。“这是你能想到的最糟糕的一种客户端的弱点,”nCircle公司的安全运营主管Andrew Storms说。“这三个都是处理多媒体内容的。”

  “很明显,攻击者们不再发送malware和偷渡式转链接的攻击了”Storms补充说。

  Amol Sarwate,Qualys公司弱点实验室的经理,在关于他执行补丁的选择以及他的理由方面都附和了Storms的说法。“这三个标记为关键的公告(包括弱点)都是那种我们曾经见过的攻击者将目标瞄准普通桌面用户,而不是去尝试攻击服务器的类型。”

  但是,Sarwate提供了更多的细节,他详细指出了今天的补丁中最严重的单个bug :MS07-069,这个公告解决了IE6和IE7种的4个弱点,他建议这个公告应该首先部署,因为其中的任何一个缺陷都已经被攻击者们探测到了。“DHTML 0天漏洞非常重要,必须要打补丁,”Sarwate说。

  这3个关键的升级——MS07-064, MS07-068 以及 MS07-069——再分别加上DirectX,Windows媒体格式运行时,以及IE6和IE7.那些升级中覆盖到的7个弱点中的6个都被确认为对Windows Vista十分关键,而微软以前曾经吹捧过Vista是有史以来安全性最高的。

  MS07-064 消除了DirectX处理多个流视频文件格式时的一些bug;攻击者们会利用这些弱点让用户们看到被非法操控的流媒体,微软说。

  “这是十分重大的,因为许多应用程序——还有Windows自身——都使用DirectX来传送多媒体内容,”Storms说,他还提醒道,“。wav文件,。avi文件和SAMI(同步可访问媒体交换)文件十分常见,被很多很多的网站使用。”用户们已经习惯于打开这样的格式,他补充说,这就是让攻击文件更有可能通过检查。

  MS07-068,Storms说,“几乎就是完全一样的,”因为它还涉及了文件格式解析bug,他说。Windows媒体格式运行时,作为Windows媒体播放器的一部分,也是Windows其它部分用来显示内容的一个组件,它无法正确处理。asf(高级系统格式)文件。这是微软私有的流媒体文件格式。

  MS07-069对IE6和IE7的升级,修正了4个缺陷,这4个缺陷对于Windows 2000,XP和Vista来说都江西广告网丶侗鸬模嵌訵indows Server 2003来说是中等级别。其中的三个是浏览器中的内存修改问题,而第四个则是出现于IE表现使用了动态HTML代码的页面上。根据微软所说,DHTML bug已经被发现,这使得弱点变成“0天”弱点。

  另外,今天MS07-067还处理了第二个0天bug,它为Macrovision公司的驱动程序提供了一个升级,这个驱动程序已经在攻击中出现超过一个月了。尽管Macrovision在几个星期前已经为Windows XP和Server 2003提供了一个替代的驱动程序,微软还是没有在11月份的补丁中加入对这个驱动程序的修正,因为他们需要更多的时间去准备和测试升级。

  此外,在今天的批处理补丁中,还有2个公告——MS07-063 和 MS07-066——这两个公告只影响Windows Vista.这2个升级的标记等级是重要,而不江西广告网丶」芪⑷沓腥纤强赡芑岬贾略冻檀胫葱小




欢迎光临 江西广告网 (http://bbs.jxadw.com/) Powered by Discuz! X3.2