雖然微軟周二發(fā)布了10個(gè)安全公告，解決了Windows 、Microsoft SharePoint、Internet Explorer（IE）、Internet信息服務(wù)（IIS）和.NET框架中的34個(gè)漏洞，但是微軟安全響應(yīng)中心（MSRC）的成員要求用戶立即優(yōu)先更新以下三個(gè)嚴(yán)重公告——MS10-33、MS10-034和MS10-035。

微軟響應(yīng)通信集團(tuán)經(jīng)理Jerry Bryant和高級安全程序經(jīng)理Adrian Stone敦促用戶立即安裝MS10-033，它解決媒體解壓漏洞——該漏洞可能允許遠(yuǎn)程執(zhí)行代碼，并可能導(dǎo)致路過式下載，例如，如果用戶通過電子郵件收到損壞的media或特制的傳輸媒體文件破損網(wǎng)站。遠(yuǎn)程代碼執(zhí)行漏洞可以在Quartz.dll和Asycfilt.dll中找到。

根據(jù)Shavlik Technologies 公司的數(shù)據(jù)和安全經(jīng)理Jason Miller所說，僅僅關(guān)注互聯(lián)網(wǎng)瀏覽器補(bǔ)丁的日子已經(jīng)改變了。他說，微軟在過去六到八個(gè)月里一直都非常關(guān)注修復(fù)其媒體格式和播放器漏洞。

Miller說，“攻擊者在關(guān)注瀏覽器攻擊的同時(shí)，也越來越多地關(guān)注媒體播放器。我可以保證，現(xiàn)在，已經(jīng)有人在你的網(wǎng)絡(luò)上，瀏覽因特網(wǎng)，查看湯姆克魯斯在《熱帶驚雷》里所演的Les Grossman跳舞（本周MTV電影獎中受歡迎的視頻）。很有可能的是這些視頻文件被損壞了?！痹摴鎽?yīng)該作為高度優(yōu)先事項(xiàng)。

MS10-034是這個(gè)月另一個(gè)重要公告，它是Active Kill Bits的累積安全更新，它可以確保有缺陷的ActiveX控件不會通過Internet Explorer被利用。微軟的Stone 在MSRC網(wǎng)站上發(fā)布的視頻中說，“我們強(qiáng)烈建議用戶，即使這些控件進(jìn)行了更新，也要重設(shè)Kill Bits?！?/P>

微軟控件將向Kill Bits申請兩個(gè)控件： Internet Explorer 8開發(fā)工具控件和數(shù)據(jù)分析器ActiveX控件。數(shù)據(jù)分析器ActiveX控件不是默認(rèn)安裝的，但用戶可以通過第三方應(yīng)用程序來安裝。

根據(jù)微軟，另一個(gè)重要的優(yōu)先更新是MS10-035，用于Internet Explorer的累積更新。對Windows 2000專業(yè)版、Windows XP、Windows Vista和Windows 7來說，此安全更新等級為“嚴(yán)重”，它解決了6個(gè)漏洞，包括先前公布的安全咨詢980088（一個(gè)允許信息泄露的IE漏洞）。微軟表示，還未發(fā)現(xiàn)針對此漏洞的任何有效攻擊。

這個(gè)月的公告也解決了安全咨詢983438，即解決了Microsoft SharePoint中的提升特權(quán)的漏洞。

其中，有7個(gè)公告影響Windows，包括一個(gè)解決IIS漏洞的安全更新，一個(gè)解決IE瀏覽器漏洞的更新，兩個(gè)Office相關(guān)產(chǎn)品的漏洞更新和一個(gè)解決SharePoint服務(wù)器漏洞的更新。

其他“重要”的更新

在微軟安全響應(yīng)中心的博客中，也介紹了其他“重要”的安全更新：

除了MS10-033、MS10-034和MS10-035，本月的其他更新，安全更新等級為“重要”，包括MS10-032，它解決Windows內(nèi)核模式驅(qū)動程序中提升特權(quán)的問題。該公告解決了一個(gè)潛在的遠(yuǎn)程載體，在調(diào)用受影響的API時(shí)，如果非微軟應(yīng)用程序無法正確地請求緩沖區(qū)的長度，它就會出現(xiàn)。

另一個(gè)“重要”安全公告，MS10-036，解決Office應(yīng)用程序中通過ActiveX進(jìn)行的攻擊。對于在Windows XP或更新的操作系統(tǒng)上運(yùn)行Office XP的用戶，可以通過微軟FixIt解決方法工具安裝一個(gè)墊片，防止該漏洞影響COM驗(yàn)證漏洞。

但是，Miller警告說，Office XP仍然容易受攻擊，該解決辦法不能刪除這個(gè)漏洞，但能阻止應(yīng)用程序受感染。“FixIt工具在技術(shù)上不是補(bǔ)丁。它和硬化OS一樣，是個(gè)緩解方法，你不能通過Windows更新來解決它。它需要在您的網(wǎng)絡(luò)中進(jìn)行人工干預(yù)才能解決?！?Miller還敦促用戶盡可能升級到Office 2003或2007。

Miller說，在前幾個(gè)月因?yàn)楣婧脱a(bǔ)丁很少，用戶可能能夠避免部署更新，但今天的多個(gè)補(bǔ)丁可能會影響組織的工作站和服務(wù)器。如果管理員部署、運(yùn)行補(bǔ)丁并重新啟動機(jī)器，這將會使補(bǔ)丁周期更長。

微軟MVP和IT管理員Susan Bradley，將于下周推出補(bǔ)丁。Bradley對所有的漏洞有其自己的看法，包括那些與Internet Explorer和SharePoint有關(guān)的漏洞，但她指出安全公告的特殊挑戰(zhàn)，如MS10-041，它解決.NET框架漏洞。用戶可能在一臺機(jī)器上安裝有該框架的多個(gè)版本，.NET補(bǔ)丁安裝過程可能會比較漫長。

Bradley說“有時(shí)[.NET]補(bǔ)丁卡住，給你一個(gè)錯(cuò)誤信息。然后你就必須將它們?nèi)啃冻?，重新申請，再安裝?！辈⑶?，你還需要另一種工具來卸載和重新安裝該框架。

【編輯推薦】

1. 微軟緊急發(fā)布SMBv2安全漏洞補(bǔ)丁緩解風(fēng)險(xiǎn)
2. 漏洞影響太大微軟被迫兩度緊急發(fā)布補(bǔ)丁修復(fù)IE