今夏的周二补丁日,微软的核心产品IE、新的Edge浏览器以及Office办公软件中存在的四个关键漏洞均获得修复。
截止9月12日周二补丁日,微软今年到目前为止发布的补丁总数超过了100。去年这个时候只有55条公告,2014年全年85条。按照这个速度,微软2015年全年公告有可能达到145。Qualys公司的CTO Wolfgang Kandek如此分析。
补丁数量增加并不意味着产品的bug增多了,Kandek说。
他说:“从产品的角度来看,bug的增加是没有理由的。我认为,这个迹象表明了有更多的安全研究在展开,因此有更多的人将bug报告给微软。”
本月发布的四个重要的补丁之一修复了微软图形组件中的漏洞,非常值得管理员关注,Kandek说。更新修复了Windows、Office和Microsoft Lync中的漏洞。如果用户打开了经过专门制作的文档或访问了嵌入OpenType字体的Web页面,这些漏洞将允许远程执行代码。
“我们认为MS15-097是最为关键的补丁,因为它目前被攻击者所利用,”Kandek说,“一旦电脑入侵,将提供升级特权。事实上,在自然状态下,管理员应该会很轻易应用。”
据Kandek,下一个关键补丁是IE的累计安全更新,因为它解决了远程代码漏洞。该补丁修复了17个漏洞,通过修改IE在内存中处理对象的方式来确保浏览器进行正确的许可文件操作。虽然17个漏洞涉及到IE,但与最新发布的Edge浏览器相关的只有四个。
“有趣的是,Edge中的bug与IE中的bug是重叠的,所以你可以知道它们影响了核心基础,”Qualsys漏洞实验室主任Amol Sarwate说,“但是对比上个月的公告,Edge的漏洞远远少于IE。”
上个月,微软发布了IE关键修复,即针对13个漏洞的累计安全更新。针对Edge的一个补丁只修复了四个漏洞。
另一个标记为关键的公告是面向Office的更新,修复了五个漏洞,其中三个被描述为内存崩溃漏洞。该补丁与许多其他一起标记为关键或重要性的Office补丁应该会很快应用于绝大多数的IT部门,Kandek说。
根据微软,该补丁纠正了Office处理内存文件的方式,并且修改了SharePoint验证Web请求方式。
“Office中的大多数漏洞都是至关重要的,因为应用太广泛了,”Kandek说,“这个补丁也包含远程代码执行,所以尤为重要。”
微软为服务器端产品发布了三条公告,最重要的是Exchange Server漏洞更新。如果Outlook Web Access未能妥善处理Web请求,攻击者会通过该漏洞盗取信息,还可以清楚用户输入和邮件内容。
在9月份的报告中,好消息是最新的Windows 10操作系统并没有bug报告,同时自2013年10月份以来,Adobe Flash Player首次没有更新。
“在过去的几个月里,Flash有一些大的变化,谷歌与Adobe的合作增加了安全性能,”Kandek说,“或许这也给了他们一些喘息的时间。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
