微軟在本周二發布了17個安全公告，修復了被 Stuxnet惡意軟件利用的零日漏洞，阻止攻擊者以IE中的幾個嚴重漏洞為攻擊目標。

微軟本月修復了40個產品漏洞，以及七個存在于客戶端軟件和服務器系統的嚴重漏洞（影響微軟SharePoint Server和Exchange）。補丁專家表示額外的公告表明微軟正在致力于提高它解決漏洞的效率。

Shavlik Technologies公司數據與安全團隊領導Jason Miller說，今年微軟發布的安全公告數（108個）也暗示安全廠商正在完善它們的進程。Miller表示雖然今年對微軟來說是艱難的一年——微軟今年發布了許多帶外補丁，還發現了許多零日漏洞——但微軟在其工程師團隊以及補丁修復方面變得越來越透明了。

Miller表示，“微軟已經在方法上有了很大的提高，我希望其他廠商能夠看到這一點，并試圖模仿微軟的做法。”

在最近的更新中，微軟修復了被Stuxnet木馬利用的第四個零日漏洞。該惡意軟件以其他的一些漏洞為目標來訪問Windows系統，并使用Windows Task Scheduler中的一個漏洞來升級權限，以西門子監控和數據采集（SCADA）軟件為攻擊目標。微軟將該漏洞定義為“重要”，并表示攻擊者必須有有效的登錄憑證，并且在本地登錄才可利用該漏洞。

微軟攔截了一些嚴重的IE漏洞。此公告解決五個影響IE所有版本的嚴重問題（Windows客戶端和Windows服務器）。Sarwate表示最近微軟受到越來越多地針對IE漏洞的攻擊。

Sarwate說，“在中國和韓國，這些漏洞被利用的趨勢在上升。”

微軟Windows Open Type Font驅動中的一些嚴重漏洞也在本周被修復。微軟表示攻擊者可以在網絡共享中托管OpenType font，誘使用戶瀏覽它，自動觸發Windows Explorer中的漏洞，“從而使這個定制的font完全控制受感染的系統。”對在Windows Vista、Windows Server 2008、Windows 7和Windows Server 2008上運行的OTF驅動來說，該安全更新被定義為“嚴重”。

此外，微軟解決了Windows中微軟和一些第三方應用程序預負載共享文件的方式中的一些漏洞。有些公告解決了媒體處理漏洞或DLL預負載錯誤。這些公告被定義為“重要”，解決客戶端和服務器系統中的預負載漏洞。管理員應該部署該補丁，但是Qualys的Sarwate表示IT管理員可以應用DLL preloading fix來解決第三方Windows組件中的預負載錯誤。

另一個值得注意的安全公告修復了微軟Office中的7個漏洞，攻擊者可以遠程利用這些漏洞以訪問重要的系統文件或安裝惡意軟件。這些漏洞影響Microsoft Office Graphics Filters，可以被用來誘使用戶打開一個惡意的圖像文件。對Microsoft Works 9、Microsoft Office Converter Pack、Microsoft Office XP和Microsoft Office 2003來說，該公告被定義為“重要” 。

作者：Robert Westervelt

【編輯推薦】

1. 微軟12月將修復40個漏洞
2. 微軟發布12月補丁 徹底修復“超級工廠”攻擊漏洞