微软发布一项重要安全通报 - 2755801

大家好，我是 Richard Chen。

微软于北京时间9月22日清晨发布了一项重要安全通报- 2755801，提供了针对 Internet Explorer 10 中Adobe Flash Player 的漏洞的一个可用更新，涉及所有受支持版本的 Windows 8 和 Windows Server 2012 系统。该更新修复了Adobe安全公告中描述的 APSB12-18 和 APSB12-19 漏洞。自发布此更新起，CVE-2012-1535 处于活跃的攻击的中。关于此更新的更多信息，包括下载链接，请参阅Microsoft知识库文章2755399。

对于大多数启用了自动更新的用户来说，将不需要采取任何措施，因为相关更新会被自动下载并安装。未使用自动更新的用户请立即使用相关的更新管理软件，或通过Microsoft Update服务进行相关检查，以确保您的计算机受到相应的保护。

因为涉及到Adobe Flash Player，我们会对更新过程进行一些讨论。微软承诺将采取适当的措施来帮助保护我们的用户，我们正在同Adobe 密切合作以提供符合Adobe的更新过程的保护措施。

根据该安全通报，下面的缓解因素可能有助于您。缓解是指在现有的状态下，通过设置一些常见的配置或一般的最佳实践方案，降低可能利用该漏洞造成的危害的的严重程度。

• 在一些基于web 的攻击场景中，您的安全将会受到威胁：攻击者可能会特制一个网站，该网站包含利用这些漏洞的网页，然后诱使使用 Internet Explorer 10 的用户访问该网站。除此之外，一些被入侵的网站和一些接受用户提供内容或广告的网站，都可能包含利用这些漏洞的特制的内容。但是在任何情况下，攻击者都无法强迫用户访问这些网站。攻击者只能通过一些手段诱使用户访问这些网站，例如诱使用户点击电子邮件或即时通讯消息中的某些链接，这些链接会将用户引导向攻击者的网站。
• 符合Windows 8 风格UI 的 Internet Explorer 10，只能播放兼容浏览模式(CV)列表所包含网站的Flash内容。这一限制使攻击者需要让特制网站首先包含于CV列表中。攻击者会特制一些网站，其中包括可利用这些漏洞的Flash内容，然后诱使用户查看该特制网站。同样，攻击者无法强迫用户访问这些网站，只能通过一些手段诱使用户访问这些网站，例如诱使用户点击电子邮件或即时通讯消息中会将用户导向攻击者的网站的某些链接，或打开通过电子邮件发送的某些附件。
• 默认情况下，所有受支持的版本的 Microsoft Outlook 和 Windows Live Mail 打会在受限制站点区域中开HTML 电子邮件。受限制的站点区域是禁用脚本和ActiveX控件的，这样可以降低攻击者利用这些漏洞执行恶意代码的风险。在基于 Web 的攻击情形中，如果用户单击电子邮件中的链接，他们可能仍然容易受到利用此漏洞的影响。
• 默认情况下，Windows Server 2012中的 Internet Explorer 运行在一个受限制的模式中，该模式称为增强的安全配置。这种模式可以帮助降低利用Internet Explorer 10 中Adobe Flash Player 的漏洞进行攻击的可能性。

关于此安全通报的其他详细信息，包括变通方法、受影响的系统和常见问题等，请查阅微软安全通报-2755801。像往常一样,我们建议用户查阅更多信息并尽快部署该更新，以确保您的计算机处于安全保护中。

谢谢！

Richard Chen

大中华区软件安全项目经理