微软安全新闻聚焦-双周刊第三十二期


                                                                  Biweekly Spotlights    

                                        ==== 2013. 4. 25– 2013. 5 .15  32 ====    

微软5月发布10个安全补丁

2013年5月15            

clip_image002

 

微软于515日清晨发布10个安全补丁,其中2个为最高级别严重等级,8个为重要等级,共修复 Internet ExplorerMicrosoft WindowsMicrosoft OfficeServer and Tools .NET Framework 中的33个安全漏洞。请特别优先部署严重等级补丁 MS13-037MS13-038 MS13-039MS13-037 解决 Internet Explorer 中的11个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。MS13-038 永久性地解决了在 Microsoft 安全通报 2847140中描述的 Internet Explorer 8 中的漏洞。MS13-039解决了 Windows 中的一个安全漏洞。如果攻击者向受影响的 Windows 服务器或客户端发送特制 HTTP 数据包,该漏洞可能允许拒绝服务。此外,微软还发布了安全通报 2820197安全通报2846338

 

 

软件开发,注意“安全”

2013 年5 14

clip_image002

微软软件安全开发生命周期(SDL)已经提出了近十年的时间了,在这过去的十年中,互联网经历了翻天覆地的变化。但是我们也可以看到,互联网犯罪也在迅猛增长,网络安全事故也是层出不穷。微软调查发现只有37%的企业在软件开发中将软件的安全性纳入需求之中,这样的现状不得不让人担忧。其中阻碍企业使用安全开发流程的原因一个是缺乏管理上的认可。不过 ISO 发布了 ISO/IEC 27034-1 标准,为软件安全开发制定了标准,因此安全开发或许将会成为一种强制措施。其次,开发人员缺乏相应的培训也是阻碍因素之一。微软在 SDL 网站上提供了大量的免费的安全开发工具和指导文档,可以供开发人员学习。另外一个原因是企业在资金开销方面的顾虑,但是 Aberdeen Group 的研究表明安全的代码能够为企业创造更多的收益。因此在软件开发过程中,无论是使用者还是开发者都应时刻注意“安全”。

 

微软发布安全通报2847140

2013 5 3

clip_image002

 

微软在53日发布了安全通报2847140以解决在 Internet Explorer 8 中的一个安全漏洞。当攻击者诱使用户使用 IE 8浏览一些恶意站点时,该漏洞可能触发远程代码执行。攻击者通常通过邮件或即时消息传播这些恶意链接。Internet Explorer 67910并不受该漏洞的影响,因此通过升级 IE 到版本9或者10均可避免该漏洞的影响。微软正在积极地制定解决方案,于此期间,微软希望受影响的用户采取以下措施缓解该漏洞的影响:1. IE浏览器中 Internet 和本地局域网的安全级别调整至“高”,以阻止 Active X 控件和动态脚本。2. 配置 IE 浏览器,使其在 Internet 和本地局域网中,在运行动态脚本前提示用户,或直接禁止动态脚本。以上两个防护措施可能都会影响到用户正常访问一些常用网站,因此建议用户将常用的可信的站点添加到IE的受信任站点中。

 

感谢您的关注!    

微软大中华区安全团队    

Microsoft GCR Security Team

Comments (0)

Skip to main content