微软安全新闻聚焦-双周刊第三十二期

微软5月发布10个安全补丁

2013年5月15日            

微软于5月15日清晨发布10个安全补丁，其中2个为最高级别严重等级，8个为重要等级，共修复 Internet Explorer、Microsoft Windows、Microsoft Office、Server and Tools 和 .NET Framework 中的33个安全漏洞。请特别优先部署严重等级补丁 MS13-037、MS13-038 和 MS13-039。MS13-037 解决 Internet Explorer 中的11个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。MS13-038 永久性地解决了在 Microsoft 安全通报 2847140中描述的 Internet Explorer 8 中的漏洞。MS13-039解决了 Windows 中的一个安全漏洞。如果攻击者向受影响的 Windows 服务器或客户端发送特制 HTTP 数据包，该漏洞可能允许拒绝服务。此外，微软还发布了安全通报 2820197和安全通报2846338。

软件开发，注意“安全”

2013 年5 月 14 日

微软软件安全开发生命周期(SDL)已经提出了近十年的时间了，在这过去的十年中，互联网经历了翻天覆地的变化。但是我们也可以看到，互联网犯罪也在迅猛增长，网络安全事故也是层出不穷。微软调查发现只有37%的企业在软件开发中将软件的安全性纳入需求之中，这样的现状不得不让人担忧。其中阻碍企业使用安全开发流程的原因一个是缺乏管理上的认可。不过 ISO 发布了 ISO/IEC 27034-1 标准，为软件安全开发制定了标准，因此安全开发或许将会成为一种强制措施。其次，开发人员缺乏相应的培训也是阻碍因素之一。微软在 SDL 网站上提供了大量的免费的安全开发工具和指导文档，可以供开发人员学习。另外一个原因是企业在资金开销方面的顾虑，但是 Aberdeen Group 的研究表明安全的代码能够为企业创造更多的收益。因此在软件开发过程中，无论是使用者还是开发者都应时刻注意“安全”。

微软发布安全通报2847140

2013 年 5 月3日

微软在5月3日发布了安全通报2847140以解决在 Internet Explorer 8 中的一个安全漏洞。当攻击者诱使用户使用 IE 8浏览一些恶意站点时，该漏洞可能触发远程代码执行。攻击者通常通过邮件或即时消息传播这些恶意链接。Internet Explorer 6、7、9和10并不受该漏洞的影响，因此通过升级 IE 到版本9或者10均可避免该漏洞的影响。微软正在积极地制定解决方案，于此期间，微软希望受影响的用户采取以下措施缓解该漏洞的影响：1. 将IE浏览器中 Internet 和本地局域网的安全级别调整至“高”，以阻止 Active X 控件和动态脚本。2. 配置 IE 浏览器，使其在 Internet 和本地局域网中，在运行动态脚本前提示用户，或直接禁止动态脚本。以上两个防护措施可能都会影响到用户正常访问一些常用网站，因此建议用户将常用的可信的站点添加到IE的受信任站点中。