微软于周二(11/9)公布了6大更新,修补15个安全漏洞,并于MS09-065中修补了数个与Windows核心有关的漏洞,是此次更新中攻击指数(ExploitabilityIndex)最高的。
被列为重大(critical)更新的MS09-065修补了3个Windows核心漏洞,最严重的漏洞在访问者检视以嵌入式EOT格式呈现的内容时就可能引发远端攻击,访问者造访的不论是骇客所掌控的恶意网站,或是提供访问者可自行上传内容的合法网站,都可能含有利用该漏洞的恶意内容。
与MS09-065同列为重大更新的MS09-063与MS09-064在攻击指数上皆为中等可能性“有可能遭攻击” (InconsistentExploitCode Likely),但MS09-065则是“很可能遭攻击”(Consistent ExploitCodeLikely),微软并建议客户马上部署MS09-065。
不过,MS09-065漏洞仅影响Windows 2000、Windows XP及WindowsServer2003,并未波及Windows Vista、Windows Server 2008或Windows 7。
MS09-063更新的是装置应用程序设计界面上的网络服务(WSDAPI)漏洞,骇客可能透过传递特制的封包攻击该漏洞,并执行远端程序攻 击。不过,相关攻击只能在区域网络中进行,无法自外部网络进行攻击。该漏洞影响WindowsVista及WindowsServer 2008。
MS09-064 修补的是Windows 2000中的LicenseLogging漏洞,攻陷该漏洞的骇客可能取得主人权限。
被列为重要(important)更新的MS09-066 、MS09-067 及MS09-068则分别修补了ActiveDirectory、Excel及Word中的漏洞。
与Excel及Word有关的漏洞亦可能导致远端程序攻击。微软安全方案经理JerryBryant说明,骇客可透过特制的Excel或Word文件攻击该漏洞,但OfficeXP以后的版本会在开启文件前提醒访问者,可减轻相关漏洞所带来的威胁。
微软针对不同的更新列出优先部署等级,其中最应优先进行部署的是MS09-065,被列为最低优先部署等级的为MS09-066,其他更新皆为第二优先等级。
2183
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
