微軟周二發(fā)布了兩項(xiàng)重要公告，解決了Outlook Express和Visual Basic中的兩個(gè)嚴(yán)重漏洞，攻擊者可以利用這兩個(gè)漏洞遠(yuǎn)程訪問敏感數(shù)據(jù)。

微軟發(fā)布這些補(bǔ)丁作為其每月例行的補(bǔ)丁計(jì)劃的一部分。

MS10-031修復(fù)Microsoft Visual Basic for Applications（VBA）中的一個(gè)嚴(yán)重漏洞。開發(fā)者可以利用VBA工具來將第三方工具裝入運(yùn)行各種微軟Office應(yīng)用程序的進(jìn)程中。對于VBA SDK 6.0以及使用Microsoft VBA的第三方應(yīng)用程序，此安全更新的等級為“嚴(yán)重”。

內(nèi)存損壞漏洞使攻擊者能遠(yuǎn)程執(zhí)行代碼，并可能導(dǎo)致受害者的計(jì)算機(jī)被完全控制。攻擊者需要讓用戶打開一個(gè)文件，強(qiáng)制應(yīng)用程序在運(yùn)行時(shí)向VBA發(fā)送惡意代碼。對于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本，此安全更新等級為“重要”。

補(bǔ)丁管理專家一致認(rèn)為，盡管攻擊者針對這個(gè)漏洞來寫漏洞利用代碼很難，但Visual Basic中的漏洞對微軟Office的所有受支持版本有很大的影響。

漏洞管理廠商Qualys公司的首席技術(shù)官Wofgang Kandek 說：“雖然對于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本，此安全更新等級為‘重要’，但是我們認(rèn)為這很緊急。”

微軟還解決了影響Windows Mail客戶端身份驗(yàn)證郵件響應(yīng)方式的嚴(yán)重漏洞。MS10-030解決了在Windows 2000、XP、Vista和Windows Server 2003和2008上運(yùn)行的Outlook Express、Windows Mail和Windows Live Mail中的漏洞。攻擊者需要引誘用戶訪問一個(gè)惡意電子郵件服務(wù)器，來實(shí)現(xiàn)攻擊。發(fā)送惡意代碼迫使郵件客戶端不需要身份驗(yàn)證。成功利用該漏洞的攻擊者可以獲得與本地用戶相同的用戶權(quán)限。

微軟安全響應(yīng)中心的響應(yīng)通信部門經(jīng)理Jerry Bryant在MSRC的博客中寫道，“為了成功利用此漏洞，攻擊者需要托管一個(gè)惡意郵件服務(wù)器或感染一個(gè)郵件服務(wù)器?；蛘?，攻擊者可以執(zhí)行一個(gè)中間人攻擊，并試圖改變客戶端的響應(yīng)方式。因?yàn)閃indows Vista和較新的操作系統(tǒng)中有堆緩解，所以這個(gè)漏洞被利用的可能性不大。

微軟SharePoint仍然易受攻擊

影響SharePoint Server 2007和SharePoint Services 3.0的跨站點(diǎn)腳本（XSS）漏洞仍然容易受到遠(yuǎn)程攻擊。針對零日漏洞的概念驗(yàn)證代碼是公開。Bryant說，微軟的工程師仍在開發(fā)和測試修補(bǔ)程序。

該漏洞可以被基于瀏覽器的攻擊利用，使攻擊者能夠在易受感染的應(yīng)用程序中執(zhí)行JavaScript代碼。

【編輯推薦】

1. “極光”末日微軟今日發(fā)補(bǔ)丁修復(fù)8個(gè)IE漏洞
2. 安全公司披露微軟上月悄悄修復(fù)三個(gè)嚴(yán)重漏洞