本周二微軟發(fā)布了兩個(gè)安全公告，修補(bǔ)了兩個(gè)會(huì)影響所有版本W(wǎng)indows的關(guān)鍵漏洞。同時(shí)，微軟還更新了一個(gè)安全公告，發(fā)布了一個(gè)臨時(shí)自動(dòng)化的解決方案，部署該方案將阻止攻擊者利用IE零日漏洞。

目前為止，在一月份微軟只發(fā)布了兩個(gè)安全公告，用以修復(fù)微軟Windows和Windows服務(wù)器中的三個(gè)漏洞。與去年破紀(jì)錄發(fā)布17個(gè)公告的12月份相比，一月份顯得很平靜。

第一個(gè)安全公告解決了微軟系統(tǒng)數(shù)據(jù)訪問組件

（Microsoft Data Access Components，一個(gè)應(yīng)用程序開發(fā)人員用于訪問Windows數(shù)據(jù)存儲(chǔ)的框架）中的兩個(gè)關(guān)鍵漏洞。這些漏洞可被用于駕車襲擊（drive-by attacks）或者誘騙人們?nèi)ピL問一個(gè)惡意網(wǎng)頁。這次更新的等級(jí)對(duì)Windows XP，Vista和Windows 7為非常重要，對(duì)Windows Server 2003和Windows Server 2008為重要。

此外，微軟還解決了一個(gè)Windows備份管理器（Windows Backup Manager）中的漏洞。該安全公告會(huì)影響Windows Vista的用戶，對(duì)Windows Vista的等級(jí)為重要。該漏洞可能允許遠(yuǎn)程代碼執(zhí)行，不過微軟表示，只有在用戶訪問一個(gè)遠(yuǎn)程文件系統(tǒng)位置或WebDAV共享，且打開一份Windows備份管理器文件時(shí)才會(huì)發(fā)生。

微軟還更新了一個(gè)安全公告，解決了IE層疊樣式表（CSS）功能中的一個(gè)內(nèi)存錯(cuò)誤。微軟表示，該內(nèi)存錯(cuò)誤可被攻擊者用于遠(yuǎn)程執(zhí)行惡意軟件。

微軟增加了一個(gè)自動(dòng)修復(fù)臨時(shí)補(bǔ)丁，防止CSS樣式表的重復(fù)加載。微軟工程師Kevin Brown在微軟安全研究與防御（Microsoft Security Research and Defense）博客中寫道，解決方案是一個(gè)MSI包，它使用Windows應(yīng)用程序兼容性工具包對(duì)控制IE中加載的CSS的DLL做出小改動(dòng)。

位于明尼蘇達(dá)州St. Paul的補(bǔ)丁管理公司——Shavlik Technologies有限責(zé)任公司的數(shù)據(jù)和安全團(tuán)隊(duì)領(lǐng)導(dǎo)者Jason Miller，鼓勵(lì)管理員密切關(guān)注可暫時(shí)解決漏洞的可行方法。不過他表示，臨時(shí)修復(fù)可能引起IE網(wǎng)頁不正確的顯示。

“這是一個(gè)攻擊者經(jīng)常喜歡利用的漏洞，所以它有一定的風(fēng)險(xiǎn)，”Miller說道，“在你部署解決方案前，你需要測(cè)試你的系統(tǒng)可以做些什么?！?/p>

用戶可以在Windows Vista和Windows 7中使用保護(hù)模式，在Windows Server 2003和2008中使用增強(qiáng)型安全配置（Enhanced Security Configuration）。更先進(jìn)的用戶可以使用加強(qiáng)緩解體驗(yàn)工具包（Enhanced Mitigation Experience Toolkit）作為該漏洞的解決方案。

工程師們同時(shí)還在努力修復(fù)其他幾個(gè)已知的Microsoft零日漏洞。一個(gè)是Windows圖形繪制引擎中引起不正確解析BMP縮略圖的漏洞。該漏洞會(huì)影響除Windows 7和Windows Server 2008 R2外所有版本的Windows。該安全公告包括一個(gè)解決方案和一個(gè)臨時(shí)解決該漏洞的自動(dòng)修復(fù)。

其他零日漏洞包括一個(gè)IIS 7.0和7.5 FTP服務(wù)漏洞，幾個(gè)其他IE中的內(nèi)存錯(cuò)誤漏洞和WMI管理工具包中的ActiveX控件漏洞。