微軟年終安全性更新將修復八個漏洞 六個屬嚴重級

微軟即將在下週二發佈本年度最後一個安全性更新,其中包含六個「嚴重級」更新。微軟週四宣佈,它將在下週二發佈八個安全性更新,其中有六個被定為「嚴重級」更新,此次修復的軟體包括Windows、IE瀏覽器、Office和其他軟體。

微軟表示,在即將發佈的八個安全性更新中,有兩個針對Windows,另外兩個針對Office,剩下的四個分別針對IE瀏覽器、SharePoint、Windows Media Player以及Visual Basic和Visual Studio。

NCircle Network Security的安全業務主管Andrew Storms稱,針對Windows系統的兩個更新中有一個修復的是微軟在八個月之前就認定過的一個漏洞,從10月中旬起,駭客們就一直在利用那個漏洞進行攻擊了。

Storms表示:「被微軟標記為『Windows 1』的安全公告似乎是針對951306號建議書提到的漏洞。」他在4月份曾提出相關警告,所有版本的Windows都存在那個漏洞。而在他提出警告之前幾週,業內研究員和安全顧問Cesar Cerrudo表示,他將在下一次安全會議上公佈一個Windows漏洞。微軟當時未予理會,將那個問題稱作是設計缺陷,而不是安全漏洞。然而在10月中旬,微軟證實駭客開始利用那個未修復的漏洞發起攻擊。

Storms表示,總的來說,下周即將發佈的安全性更新就像是一道自助餐,只要你願意,每種都會來一點兒。

Qualys的首席技術官Wolfgang Kandek也有同感。他說:「這看起來很正常,就像家常便飯一樣。」他的言外之意是指Office、IE和Windows Media Player今年都已經打過幾次更新了。

但是Storms和Kandek都指出,另一個Windows更新是非常重要的。被微軟標記為「Windows 2」的更新針對的是Vista和Server 2008等比較新的產品,但是不適用於Windows 2000、XP或Server 2003等舊版本產品。

Kandek表示,這與平常的情況剛好相反。他說:「Vista和Server 2008是以不同的方式開發出來的,它們包含了安全開發生命週期即SDL,軟體代碼更嚴密一些。」

Storms說:「這個漏洞一定是在Vista和Server 2008的特有代碼裡,老版本的軟體沒有那些新代碼。」Kandek回應了他的這種猜測,他表示:「我們知道Vista使用了很多老版本軟體的組件和代碼,但是微軟也增加了許多新服務在裡面。這次的漏洞應該是出在新增加的服務部分。」

Kandek在談到另一個安全公告時指出:「SharePoint的更新很有意思,這種情況並不常見,因為這個漏洞在伺服器端。」

Storms指出,針對Office的兩個更新可能是修復文件格式漏洞的更新,因為它們不僅適用於Windows版本的Word和Excel,還適用於Mac版本的相應產品。

如果微軟能夠發佈這8個安全公告,那麼它今年發佈的安全公告總數將達到77個。它在2006年和2007年分別發佈了78個和69個安全公告,而全年發佈安全公告數量最多的年份是2000年,當年微軟一共發佈了100個安全公告。

微軟將在美東時間週二下午1點左右發佈12月份的安全性更新。

隨機文章


0 意見:

張貼留言