北京时间12月9日中午,微软向全球用户正式发布12月安全更新,一次性提供了6个安全补丁,少于上月15个漏洞的数量,而且Windows7也在上市后第一次享受到了周二补丁日的服务。
针对平台:Windows 2000/XP/2003/vista/ 以及Windows Server 2008/Windows 7
详细信息:
Internet 验证服务内的漏洞可能允许远程执行代码 (974318)
此 安全更新可解决 Microsoft Windows 中两个秘密报告的漏洞。 如果在处理 PEAP 验证尝试时错误地将 Internet 验证服务服务器接收到的信息复制到内存中,这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以完全控制受影响的系统。 使用 Internet 验证服务的服务器只会在将 PEAP 与 MS-CHAP v2 验证一起使用时受到影响。
Microsoft Office Project 中的漏洞可能允许远程执行代码 (967183)
此 安全更新解决了 Microsoft Office Project 中一个秘密报告的漏洞。 如果用户打开特制的 Project 文件,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Internet Explorer 的累积性安全更新 (976325)
此 安全更新可解决 Internet Explorer 中四个秘密报告的漏洞和一个公开披露的漏洞。 如果用户使用 Internet Explorer 查看特制网页,则所有漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 使用 Microsoft 活动模板库 (ATL) 标头构建的 ActiveX 控件可能允许远程执行代码;Microsoft 安全通报 973882 和 Microsoft 安全公告 MS09-035 中描述了此漏洞。
本地安全机构子系统服务中的漏洞可能允许拒绝服务 (974392)
此 安全更新解决了 Microsoft Windows 中一个秘密报告的漏洞。 如果一个经过身份验证的远程攻击者正在通过 Internet 协议安全性 (IPSec) 进行通信,向受影响的系统上的本地安全机构子系统服务 (LSASS) 发送特制的 ISAKMP 消息,此漏洞可能允许拒绝服务。
Active Directory Federation Services 中的漏洞可能允许远程执行代码 (971726)
此安全更新可解决 Microsoft Windows 中两个秘密报告的漏洞。 如果攻击者向启用 ADFS 的 Web 服务器发送特制的 HTTP 请求,则这些漏洞中最严重的漏洞可能允许远程执行代码。 攻击者需要成为经过身份验证的用户才能利用这些漏洞。
写字板和 Office 文本转换器中的漏洞可能允许远程执行代码 (975539)
此 安全更新可解决 Microsoft WordPad 和 Microsoft Office 文本转换器中一个秘密报告的漏洞。 如果使用写字板或 Microsoft Office Word 打开特制的 Word 97 文件,则该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者只能获得与用户相同的权限。 帐户配置系统权限较少的用户比具有管理权限的用户受到的威胁要小。
