上周二微軟發(fā)布其例行補丁，其中包括12個公告，有四個被微軟認定為“重要”等級。

專家稱公告MS15-115應該為企業(yè)優(yōu)先重視。該公告包含七個Microsoft Windows漏洞補丁，最嚴重的漏洞可能導致遠程代碼執(zhí)行。兩個重要的漏洞是由Windows對Adobe類型管理庫中的字體處理不當引起的。這使得該漏洞能通過專門制作的網頁和郵件來遠程利用。

[[156090]]

Core Security的CISSP及系統(tǒng)工程師Bobby Kuzma稱字體處理錯誤導致如此嚴重的漏洞是不可忽視的。

“為何認為字體處理屬于操作系統(tǒng)內核中最敏感的部分?”Kuzma問道。“字體美化了作品，然而讓不信任的字體流入系統(tǒng)長期為人們所忽視，這已經遠不止一次了，九次十次與之相關的漏洞都有了。”

事實上，這已經是微軟幾年第八次相關字體處理漏洞了，其中七個都是“重要”等級。

Tripwire安全研究員Craig Young以及安全研究主管Tyler Reguly建議企業(yè)應優(yōu)先重視MS15-121，無論公告中是否認定其等級重要與否。

公告包括微軟Windows中安全通道(Schannel)漏洞的一個安全更新，該漏洞會導致欺騙和中間人攻擊。

Young稱之為強化通過微軟Schannel庫建立安全連接的重要之舉。

“微軟認定該補丁同樣重要，使用基于證書身份驗證客戶端的系統(tǒng)管理員應該將其與客戶端和服務器視作同等重要，因為描述型攻擊會允許惡意服務器將數據注入到會話的開，且很有可能與違反同源策略的網頁進行交互，”Young說道。“此外，這種攻擊的遍體能狗讓攻擊者以使用基于TLS身份驗證的其他協(xié)議冒充客戶。這使得該補丁對于那些使用PEAP的VPN服務器尤為重要，同時，部署SASL綁定的活動目錄也需要留心。”

MS15-112和MS15-113是微軟IE和Edge瀏覽器的補丁公告。IE的公告包括25個補丁，其中23個被評級為重要，能導致遠程控制設備，Edge的包括4個補丁，其中3個為重要，并能導致遠程控制設備。

本月最后一個重要的公告是MS15-114,處理了Windows中的一個漏洞，當用戶打開一個專門的Windows日志文件時該漏洞能被利用并導致遠程控制設備。該漏洞會影響Windows所有版本。

MS15-116解決了Microsoft Office中的7個重要的漏洞，其中5個在用戶打開專門的Office文件且受影響的用戶有足夠權限時會允許遠程代碼執(zhí)行。

MS15-117、MS15-118以及MS15-119也是重要的公告，可能導致通過Wiindows NDIS、.NET框架或Winsock中漏洞獲取高特權。

MS15-122描述了一個重要漏洞的具體細節(jié)，該漏洞允許攻擊者繞過目標機器上的Kerberos身份驗證并解密由BitLocker所保護的硬盤。不過微軟稱只有在目標系統(tǒng)的BitLocker缺少PIN或USB密鑰時才會被利用，計算機是通過域連接的，攻擊者可獲取計算機的物理訪問權限。

MS15-120包括IPSec中漏洞的一個補丁，處理拒絕服務的漏洞，而MS15-123是商用Skype和微軟同步的一個安全更新。