微软安全新闻聚焦-双周刊第十九期

Biweekly Spotlights

==== 2012. 8 . 17 – 2012. 8 . 30 第 19 期 ====

微软八月发布9个安全补丁 2012 年 8 月 15 日 微软于北京时间8月15日清晨发布9个安全补丁，其中5个最高级别为严重等级，其余4个为重要等级，共修复 Windows、IE、服务器软件、开发工具 和 Office 中的26个安全漏洞。请特别关注 MS12-060、MS12-052 和 MS12-054。MS12-060 修复了 Windows 常用控件中一个秘密报告的漏洞，涉及 SQL Server 等多个服务器产品，目前外界已经出现有限的有针对性的攻击。MS12-052 是 IE 累积更新。MS12-054 修复了 Windows 网络组件的漏洞，远程匿名攻击者可以通过发送特制数据包来进行主动式攻击。此外，微软重新发布了安全补丁MS12-043，添加了针对 Microsoft XML Core Services 5.0 的安全更新，上月发布的3.0/4.0/6.0版本的更新没有变化。微软同时发布了安全通报2661254，提供一个更新，限制RSA密钥长度小于1024 bit 的证书的使用，该更新目前可在下载中心下载，计划在今年10月份通过 Microsoft Update 发布。 阅读更多信息：August 2012 Bulletin Release

 

微软发布安全通报2743314 2012 年 8 月 20 日 微软于本月20日发布安全通报2743314，为使用 MS-CHAP v2作为认证方式的PPTP VPN 可能导致的信息泄露问题提供建议措施。第二版微软挑战握手协议（MS-CHAP v2）是一种在基于点对点隧道协议（PPTP）的 VPN 中广为应用的认证方法。攻击者可能利用 MS-CHAP v2协议的已知加密弱点，实施中间人攻击或拦截公开的无线通信流量，从而破解用户的域证书。该问题可以通过部署 PEAP-MS-CHAP v2 认证方式，或使用 L2TP、IKv2 或 SSTP 认证方式来避免。目前尚未发现利用此问题的活跃攻击。建议相关用户尽快部署通报中提供的建议措施以保护自身。微软正在积极监测事态发展，并尽可能为用户提供必要的部署指导。最新消息可关注微软安全响应中心Twitter: @MSFTSecResponse。 阅读更多信息：使用 PEAP 加固基于 MS-CHAP v2/PPTP 的VPN 通信安全

微软始终致力于加强数字证书的安全性 2012 年 8月 14 日 PKI (公钥基础设施) 中公钥密码算法的强度由破解私钥所花费的时间决定，因此一个有效的加密算法应当保证在合理时间内私钥不会被暴力破解。在过去的几个月中，微软不仅强化了内部 PKI 实践，而且通过 Windows Update 发布了许多针对 PKI 的更新。在6月发表的一篇博客中，微软宣布，八月份将发布一个更新来禁用 RSA 密钥长度不足1024位的证书。随后，微软校验了自己的数字证书，将RSA密钥长度不足1024位的证书放入不受信任区域，同时发布安全通报2728973 告知用户。不久，微软又通过 PKI blog 和 KB2677070发布了针对多个操作系统的已吊销证书的自动更新器。本月的安全通报2661254中，微软发布了限制RSA密钥长度的更新。为了让大家有充分的准备时间，该更新目前在微软下载中心提供，在10月份会通过Microsoft Update 发布。在此期间，客户有机会评估此更新的影响，并且采取必要操作来更换 RSA 密钥小于1024位的证书。

   感谢您的关注!

   下期双周刊发布时间：2012 年 9 月 13 日。敬请期待！

   微软大中华区安全团队

      Microsoft GCR Security Team