本周二微软发布了两个安全公告,修补了两个会影响所有版本Windows的关键漏洞。同时,微软还更新了一个安全公告,发布了一个临时自动化的解决方案,部署该方案将阻止攻击者利用IE零日漏洞。
目前为止,在一月份微软只发布了两个安全公告,用以修复微软Windows和Windows服务器中的三个漏洞。与去年破纪录发布17个公告的12月份相比,一月份显得很平静。
第一个安全公告解决了微软系统数据访问组件
(Microsoft Data Access Components,一个应用程序开发人员用于访问Windows数据存储的框架)中的两个关键漏洞。这些漏洞可被用于驾车袭击(drive-by attacks)或者诱骗人们去访问一个恶意网页。这次更新的等级对Windows XP,Vista和Windows 7为非常重要,对Windows Server 2003和Windows Server 2008为重要。
此外,微软还解决了一个Windows备份管理器(Windows Backup Manager)中的漏洞。该安全公告会影响Windows Vista的用户,对Windows Vista的等级为重要。该漏洞可能允许远程代码执行,不过微软表示,只有在用户访问一个远程文件系统位置或WebDAV共享,且打开一份Windows备份管理器文件时才会发生。
微软还更新了一个安全公告,解决了IE层叠样式表(CSS)功能中的一个内存错误。微软表示,该内存错误可被攻击者用于远程执行恶意软件。
微软增加了一个自动修复临时补丁,防止CSS样式表的重复加载。微软工程师Kevin Brown在微软安全研究与防御(Microsoft Security Research and Defense)博客中写道,解决方案是一个MSI包,它使用Windows应用程序兼容性工具包对控制IE中加载的CSS的DLL做出小改动。
位于明尼苏达州St. Paul的补丁管理公司——Shavlik Technologies有限责任公司的数据和安全团队领导者Jason Miller,鼓励管理员密切关注可暂时解决漏洞的可行方法。不过他表示,临时修复可能引起IE网页不正确的显示。
“这是一个攻击者经常喜欢利用的漏洞,所以它有一定的风险,”Miller说道,“在你部署解决方案前,你需要测试你的系统可以做些什么。”
用户可以在Windows Vista和Windows 7中使用保护模式,在Windows Server 2003和2008中使用增强型安全配置(Enhanced Security Configuration)。更先进的用户可以使用加强缓解体验工具包(Enhanced Mitigation Experience Toolkit)作为该漏洞的解决方案。
工程师们同时还在努力修复其他几个已知的Microsoft零日漏洞。一个是Windows图形绘制引擎中引起不正确解析BMP缩略图的漏洞。该漏洞会影响除Windows 7和Windows Server 2008 R2外所有版本的Windows。该安全公告包括一个解决方案和一个临时解决该漏洞的自动修复。
其他零日漏洞包括一个IIS 7.0和7.5 FTP服务漏洞,几个其他IE中的内存错误漏洞和WMI管理工具包中的ActiveX控件漏洞。
