[新闻] 20110914,微软9月14日发布5个安全补丁


大家好,我是 Richard Chen。

微软于北京时间9月14日清晨发布5个安全补丁,所有补丁的最高级别均为为重要等级,共修复了 Microsoft Windows,Microsoft Office 与 Microsoft 服务器软件等中的15个安全漏洞。请大家根据补丁严重性程度、利用指数和自身环境综合考量部署顺序。请特别注意,有若干漏洞在较旧版本与最新软件版本系统中的代码执行利用评估指数都为1,建议优先部署针对这些漏洞的补丁。

值得一提的是,安全公告 MS11-072 对 MAC 系统中的 Microsoft Office 同样适用,请 MAC 用户及时部署。此外,本次安全更新涉及的 Windows 组件不安全库加载漏洞HTML 清理漏洞均已被公开披露,故请用户特别关注针对这两个漏洞的补丁。

下表概述了本月的安全公告(按严重性排序):

公告 ID

公告标题和摘要

最高严重等级和漏洞影响

重新启动要求

受影响的软件

MS11-070

WINS 中的漏洞可能允许特权提升 (2571621)
此安全更新可解决 Windows Internet 名称服务 (WINS) 中一个秘密报告的漏洞。如果用户在运行 WINS 服务的受影响系统上收到特制的 WINS 复制数据包,则这些漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

重要
特权提升

需要重启动

Microsoft Windows

MS11-071

Windows 组件中的漏洞可能允许远程执行代码 (2570947)
此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。如果用户打开与特制动态链接库 (DLL) 文件位于同一网络目录下的合法 RTF 文件 (.rtf)、文本文件 (.txt) 或 Word 文档 (.doc),则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

重要
远程执行代码

可能要求重新启动

Microsoft Windows

MS11-072

Microsoft Excel 中的漏洞可能允许远程执行代码 (2587505)
此安全更新可解决 Microsoft Office 中 5 个秘密报告的漏洞。如果用户打开特制的 Excel 文件,这些漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与登录用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。安装和配置 Office 文件验证 (OFV) 可防止打开可疑的文件,从而阻止利用 CVE-2011-1986 和 CVE-2011-1987 中的漏洞的攻击媒介。

重要
远程执行代码

可能要求重新启动

Microsoft Office、
Microsoft 服务器软件

MS11-073

Microsoft Office 中的漏洞可能允许远程执行代码 (2587634)
此安全更新可解决 Microsoft Office 中 2 个秘密报告的漏洞。如果用户打开特制的 Office 文件,或者如果用户打开特制库文件所在的相同网络目录中的某个合法 Office 文件,则该漏洞可能允许远程执行代码。成功利用其中任何一个漏洞的攻击者可以获得与登录用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

重要
远程执行代码

可能要求重新启动

Microsoft Office

MS11-074

Microsoft SharePoint 中的漏洞可能允许特权提升 (2451858)
此安全更新可解决 Microsoft SharePoint 和 Windows SharePoint Services 中一个公开披露的漏洞和五个秘密报告的漏洞。如果用户单击特制的 URL 或访问特制网站,最严重的漏洞可能允许特权提升。对于最严重的漏洞,浏览到 Internet 区域中的 SharePoint 站点的 Internet Explorer 8 和 Internet Explorer 9 用户受到的威胁较小,因为默认情况下,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 筛选器有助于阻止 Internet 区域中的攻击。但是,默认情况下,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 筛选器在 Intranet 区域中未启用。

重要
特权提升

可能要求重新启动

Microsoft Office、
Microsoft 服务器软件

详细信息请参考2011年九月份安全公告摘要:

http://technet.microsoft.com/zh-cn/security/bulletin/ms11-sep

微软安全响应中心博客文章(英文): More on DigiNotar Certificates, and September Bulletins

谢谢!

Richard Chen

大中华区软件安全项目经理


Comments (0)

Skip to main content