互联网前沿：微软的年终漏洞补丁包括11个补丁

互联网在提高人们社会活动质量的同时可能对部分互联网使用者造成伤害。我们要正确认识网络的两面性，用其所长、避其所短，发挥网络对生活的积极促进作用。把网络作为生活的补充就可以享受网络的诸多益处，接下来这篇文章给大家说说互联网科技的正能量。

微软公司（Micros of t Corp.）周二发布了七份安全公告，修补了Windows、InternetExplorer、Windows MediaPlayer和操作系统其他部分的11个漏洞。微软证实，其中两个漏洞目前正在被攻击者利用。

在七个更新中，有三个被评为关键级别——微软使用的排名最高——而其他四个被标记为重要，是该公司四步计分系统中第二高的类别。

一对安全专家于本周二表示，这三份关键公告将修复DirectX（Windows Media Player和InternetExplorer中使用的Windows Media Format运行时）的七个不同缺陷。nCircle Inc.的安全运营主管安德鲁？斯托姆斯（Andrew Storms）表示：“这些都是最糟糕的客户端漏洞。“显然，攻击者已经从发送恶意软件转向驾车攻击，”Storms补充道。

Qualys Inc.脆弱性实验室的经理Amol Sarwate在选择补丁作为第一管理和他的推理时都呼应了Storms的观点。“标记为关键（包括漏洞）的三个公告是我们看到的攻击者用来攻击普通桌面用户的类型，而不是试图攻击服务器。

不过，Sarwate在确定星期二修补的最危险的漏洞时更具体一些：他建议，应该首先部署解决IE6和IE7中四个漏洞的公告MS07-069，因为其中一个缺陷已经在野外被利用了。“DHTML零日对修补极为重要，”Sarwate表示。

三个关键更新-MS07-064、MS07-068和MS07-069-分别在DirectX、Windows媒体格式运行库和IE6和IE7中插入漏洞。这些更新所涵盖的七个漏洞中有六个被认为是Windows Vista的关键，微软一直宣称这是最安全的。

微软（Micros of t）表示，MS07-064可以消除DirectX中的一对bug，处理多种流视频文件格式；黑客可以通过欺骗用户查看被操纵的流媒体来利用这些漏洞。

“这一点很重要，因为许多应用程序——以及Windows本身——都使用DirectX来提供丰富的内容，”Storms说，并指出“.wav文件、.avi文件和SAMI（同步可访问媒体交换）文件都非常受欢迎，并且被大量的网站使用。

他说，MS07-068是“一个几乎精确的重复”，因为它还涉及文件格式解析错误。Windows媒体格式运行时，Windows媒体播放器的一部分和Windows其他部分用于显示内容的组件，没有正确处理高级系统格式（.as f）文件，微软的专有流媒体文件格式。

IE6/IE7更新，MS07-069，修复了四个缺陷，这些缺陷对于Windows2000、XP和Vista来说都是至关重要的，但对于Windows Server2003来说却是适度的。其中三个是浏览器中的内存损坏错误，而第四个是IE的页面呈现，其中包括动态HTML代码。根据微软的说法，利用DHTML漏洞的漏洞已经被发现，使漏洞成为“零天”。

星期二的第二次零日封锁由MS07-067处理，该系统向参与攻击一个多月的Macrovision Inc.驱动程序提供了更新。虽然Macrovision在几周前发布了Windows XP和Server2003的替换驱动程序，但微软在11月的补丁中没有包括该驱动程序的修复，因为它需要更多的时间来准备和测试更新。

在周二的补丁中，还有两个公告——MS07-063和MS07-066——只影响Windows Vista。这两个更新都被标记为重要而不是关键，尽管微软承认它们可能导致远程代码执行。

“（这些）是相当令人讨厌的bug，但有足够的缓解因素将它们从顶层打掉，”Storms表示。他和Sarwate都指出，攻击者必须具有有效的登录凭据，并且必须在本地登录才能利用MS07-066修补的错误，而另一个仅Vista漏洞的影响是有限的，因为默认情况下不打开服务器消息块版本2或SMBv2的受影响部分。

但萨瓦特说，即使微软自8月份以来发布的补丁数量过多，至少也少了一个补丁。“WPAD尚未得到解决，”他在谈到微软8天前确认的Web Proxy Auto-Discovery服务器的一个缺陷时说。

这七个更新可以通过Micros of tUpdate和WindowsUpdate服务以及Windows ServerUpdate Services（WSUS）下载和安装。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！