本公告摘要列出了 2009 年 7 月发布的安全公告。
对于2009 年7 月发布的安全公告,本公告摘要替代2009年7月9日最初发布的公告预先通知。有关公告预先通知服务的详细信息,请参阅 Microsoft 安全公告预先通知。Microsoft 将在2009年7月15 日上午11 点(美国和加拿大太平洋时间)进行网络广播,以解答客户关于这些公告的疑问。北京时间7月15日早间消息,微软公司发布2009年7月安全公告,共包括6项安全修补。其中Embedded OpenType 字体引擎中的漏洞可能允许远程执行代码 (961371)一项引人注目。
摘要
下表概述了本月的安全公告(按严重性排序)。
MS09-029
Embedded OpenType 字体引擎中的漏洞可能允许远程执行代码 (961371)
此安全更新解决 Microsoft Windows 组件 Embedded OpenType (EOT) 字体引擎中的两个秘密报告的漏洞。 这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以远程完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Microsoft DirectShow 中的漏洞可能允许远程执行代码 (971633)
此安全更新可解决 Microsoft DirectShow 中一个公开披露和两个秘密报告的漏洞。 如果用户打开特制的 QuickTime 媒体文件,这些漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
ActiveX Kill Bit 的累积性安全更新 (973346)
此安全更新可解决 Microsoft Video ActiveX 控件中一个秘密报告的漏洞。 如果用户使用其中使用 ActiveX 控件的 Internet Explorer 查看特制网页,则此漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Virtual PC 和 Virtual Server 中的漏洞可能允许特权提升 (969856)
此安全更新可解决 Microsoft Virtual PC 和 Microsoft Virtual Server 中一个秘密报告的漏洞。 成功利用此漏洞的攻击者可执行任意代码,并可完全控制受影响的来宾操作系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
Microsoft ISA Server 2006 中的漏洞可能导致特权提升 (970953)
此安全更新可解决 Microsoft Internet Security and Acceleration (ISA) Server 2006 中的一个秘密报告的漏洞。如果攻击者成功模拟专为 Radius 一次性密码 (OTP) 身份验证和委派 Kerberos 受约束的委派的身份验证配置的 ISA 服务器的管理用户帐户,此漏洞可能允许特权提升。
Microsoft Publisher 中的漏洞可能允许远程执行代码 (969516)
此安全更新解决了 Microsoft Office Publisher 中一个秘密报告的漏洞,如果用户打开特制的 Publisher 文件,则该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
受影响的软件和下载位置
下面按主要软件类别和严重性的排序列出了公告。
Microsoft Windows 2000
公告标识符
MS09-029
综合严重等级
严重
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
(严重)
Windows XP
公告标识符
MS09-029
综合严重等级
严重
Windows XP Service Pack 2 和 Windows XP Service Pack 3
Windows XP Service Pack 2 和 Windows XP Service Pack 3
(严重)
Windows XP Professional x64 Edition Service Pack 2
Windows XP Professional x64 Edition Service Pack 2
(严重)
Windows Server 2003
公告标识符
MS09-029
综合严重等级
严重
Windows Server 2003 Service Pack 2
Windows Server 2003 Service Pack 2
(严重)
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
(严重)
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Server 2003 SP2(用于基于 Itanium 的系统)
(严重)
Windows Vista
公告标识符
MS09-029
综合严重等级
严重
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
(严重)
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
(严重)
Windows Server 2008
公告标识符
MS09-029
综合严重等级
严重
Windows Server 2008(用于 32 位系统)和 Windows Server 2008(用于 32 位系统)Service Pack 2
Windows Server 2008(用于 32 位系统)和 Windows Server 2008(用于 32 位系统)Service Pack 2*
(严重)
Windows Server 2008(用于基于 x64 的系统)和 Windows Server 2008(用于基于 x64 的系统)Service Pack 2
Windows Server 2008(用于基于 x64 的系统)和 Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
(严重)
Windows Server 2008(用于基于 Itanium 的系统)和 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
Windows Server 2008(用于基于 Itanium 的系统)和 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(严重)
注意 您可能必须为单个漏洞安装几个安全更新。 查看列出的每个公告标识符的整列,核实必须安装的更新(基于系统上已安装的程序或组件)。
微软公司表示,此次更新将修补最近曝光的两个0-day漏洞:DirectShow和MPEG2视频流漏洞。
目前,该漏洞已在国内广泛传播,被黑客用来散布木马病毒,用户应尽快安装该更新补丁,以免受恶意攻击。
#p#
下载更新(依重要性排序):
严重(3)
Embedded OpenType 字体引擎中的漏洞可能允许远程执行代码 (961371)
Windows Server 2003安全更新程序(KB961371)
Windows Server 2003 x64安全更新程序(KB961371)
Windows Server 2008安全更新程序(KB961371)
Windows Vista x64安全更新程序(KB961371)
Windows Server 2008 x64安全更新程序(KB961371)
Microsoft DirectShow 中的漏洞可能允许远程执行代码 (971633)
DirectX 8 for Windows 2000安全更新程序(KB971633)
DirectX 9 for Windows 2000安全更新程序(KB971633)
Windows Server 2003安全更新程序(KB971633)
Windows Server 2003 x64安全更新程序(KB971633)
ActiveX Kill Bit 的累积性安全更新 (973346)
用于Windows 2000下的ActiveX Killbit安全更新程序(KB973346)
用于Windows XP的ActiveX Killbit安全更新程序(KB973346)
用于Windows Vista的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2003的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2003 x64的ActiveX Killbit安全更新(KB973346)
Windows Server 2008的ActiveX Killbit安全更新程序(KB973346)
Windows 7 RC的ActiveX Killbit安全更新程序(KB973346)
Windows Vista x64的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2008 x64的ActiveX Killbit安全更新程序(KB973346)
Windows Server 2008 R2 RC x64的ActiveX Killbit安全更新程序(KB973346)
Windows 7 RC x64的ActiveX Killbit安全更新程序(KB973346)
重要(3)
Virtual PC 和 Virtual Server 中的漏洞可能允许特权提升 (969856)
Microsoft Virtual PC 2004 SP1安全更新程序(KB969856)
Microsoft Virtual PC 2007安全更新程序(KB969856)
Microsoft Virtual PC 2007 SP1安全更新程序(KB969856)
Microsoft Virtual Server 2005 R2 SP1安全更新程序(KB969856)
Microsoft ISA Server 2006 中的漏洞可能导致特权提升 (970953)
带有支持能力更新的ISA Server 2006的安全更新(KB970811)
ISA Server 2006 SP1安全更新(KB971143)
Microsoft Publisher 中的漏洞可能允许远程执行代码 (969516)
Microsoft Office Publisher 2007安全更新(KB969693)
其它更新:
Microsoft Office Outlook 2003垃圾邮件筛选器更新(KB971931)
Microsoft Office Outlook 2007垃圾邮件筛选器更新(KB971933)
应用程序:
Windows Server 2008 备注
*Windows Server 2008 服务器核心安装不受影响。 如果安装 Windows Server 2008 时使用“服务器核心”安装选项,则此更新所解决的漏洞不会影响 Windows Server 2008 的受支持版本。 有关该安装选项的详细信息,请参阅服务器核心。 注意,“服务器核心”安装选项不适用于某些 Windows Server 2008 版本;请参阅比较“服务器核心”安装选项。
MS09-032 注释
**严重等级不适用于此更新,因为此公告中讨论的漏洞不影响此软件。 但是,作为针对将来可能发现的任何新媒介的纵深防御措施,Microsoft 建议使用此软件的客户应用此安全更新。
MS09-028 注释
***DirectX 9.0 的更新也适用于 DirectX 9.0a、DirectX 9.0b 和 DirectX 9.0c。
【责任编辑:王文文 TEL:(010)68476606】
