微软这次发布补丁软件修正了56个不同缺陷,补丁软件被“塞进”9个独立的安全公告中。
PCWorld称,3个安全公告的评级为危急级别,意味着即使没有用户参与,黑客也可以利用这些缺陷兴风作浪。系统管理员应当尽可能迅速地修正危急缺陷。这3个安全公告涉及IE,以及服务器和桌面版Windows中的缺陷。安装补丁软件后,重启系统补丁软件才会生效。
IE危急安全公告中的补丁软件影响所有版本的IE,修正了IE处理内存中对象的方式存在的缺陷。微软已经修正了ASLR(内存地址空间布局随机化)技术存在的缺陷。这些补丁软件增添了权限验证功能,确保IE能正确地使用ASLR技术。
在这次修正的41个IE缺陷中,只有一个是被公开披露的,但该缺陷只有与其他缺陷“配合”,才能被黑客用来兴风作浪。
安全厂商Qualys IT首席技术官沃尔夫冈·坎迪克(Wolfgang Kandek)表示,这种情况并不罕见。目前许多黑客都发动“混合攻击”,联合使用多个缺陷对目标系统发动攻击。
PCWorld指出,其余6个安全公告的危险等级为重要,这意味着黑客要利用其中的缺陷发动攻击,需要用户无心的参与,例如欺骗用户点击经过特殊设计的网页。
坎迪克指出,使用Office的企业应当关注本月发布的与Office有关的安全公告。包含在安全公告MS15-012中的一处缺陷,使黑客只需欺骗用户打开嵌有恶意代码的文档——例如电子邮件,即可控制用户的计算机。
PCWorld表示,安全公告MS15-011中包含Windows组策略存在的一处缺陷。组策略是Windows服务器的配置管理技术,坎迪克没有注意到微软以前曾修正过组策略中的缺陷。这一缺陷只影响利用域控制器管理大量Windows计算机的大企业。
坎迪克表示,该缺陷可以被黑客用来控制一个机构内部的大量Windows计算机。MS15-011表明,微软在对其代码进行更深入的分析,查找潜在的安全短板。组策略补丁软件不适合Windows 2003。微软将在今年7月份停止对Windows 2003的支持。
坎迪克表示,这款补丁软件“破坏性过大”,不适用于Windows 2003,尤其考虑到微软将很快停止支持Windows 2003。这对仍然运行Windows 2003的企业来说是一个很好的提醒:赶快升级操作系统吧。
除发布补丁软件外,微软周二还采取了其他安全措施。微软重新发布了一款Excel补丁软件,它还扩展了较新版本的Windows中的审计功能。此外,微软还修订了与如何限制源自SSL 3.0的数据泄露有关的安全报告。
通常情况下,Adobe会在每个月的第一个星期二发布补丁软件。但Adobe本月没有发布补丁软件,不过今年以来Adobe已经发布了4款危急补丁软件。坎迪克说,忙于安装微软补丁软件的系统管理员也应当确保他们安装了Adobe的最新补丁软件。
