微软安全新闻聚焦-双周刊第九期

微软于北京时间2011年12月30日清晨为安全公告2659883中涉及的漏洞发布了紧急安全补丁MS11-100。此次安全补丁最高级别为严重等级，修复了 ASP.NET 中一个公开披露的远程拒绝服务漏洞以及三个可能导致特权提升的漏洞，影响范围涉及目前所有支持周期内的 Windows 上运行的所有受支持的 .NET Framework。利用该公开披露漏洞的攻击目标主要是 Windows + IIS 平台 Web 服务器。需要注意的是，该攻击的原理——哈希表 (Hash Table) 碰撞问题实际上影响到业内的多种 Web 应用平台。目前还没有发现试图利用此漏洞的攻击，但我们建议您尽快测试与部署该补丁，特别是运行 IIS 服务的用户，一定要马上行动起来。

阅读更多信息：ASP.NET security update is live!

Windows 8 将开放图片口令登录

2011 年 12月 16 日

在即将上市的 Windows 8系统中，微软将推出“图片圈划”作为口令登录本地系统的功能补充。图片圈划方式与传统的文本口令、PIN 码、软键盘相比，具备更好的安全性，同时也更个性化、更便于记忆。微软参考实验统计结果，采用了人们最常用的三种图形“点、直线、圆”供用户选择，并存储它们的方向、起止点、先后顺序等作为用户口令。用户无需记忆繁琐的图形形状，也不必在每次输入口令时进行非常精确的图形匹配。此举一方面能够产生足够的密钥空间，预防攻击者猜测口令；另一方面大大加快了用户的输入速度。敬请期待 Windows 8 更加安全、流畅、个性化与人性化的登录功能。 

IE 浏览器将开放自动更新

2011 年 12 月 15 日

使用最新版本的浏览器不仅能大幅提高个人用户网页浏览安全，更能为企业和开发者提供更为丰富的网络体验。近日，微软在博客中宣布 IE 浏览器将在 Windows XP/Vista/7平台开放自动升级功能，并计划于2012年1月开始为澳洲和巴西地区用户率先启用自动更新计划。按照计划，微软将通过 Windows Update 为开启了自动更新功能的用户自动推送最新版本IE，并且保证用户浏览器主页、搜索服务提供商、默认浏览器在更新前后保持不变。当然，我们也尊重用户的选择，选择过不升级的个人用户不会被自动升级；企业用户如果有自己的升级计划，而不希望参与到自动升级中，可以应用禁止自动升级的工具包。我们希望更多用户及时更新浏览器版本，以从新版本浏览器增强的安全功能和丰富的浏览体验中受益。