安全公告2269637更新说明

大家好，

自8月23日发布安全公告2269637以来，我们持续开展调查，不仅针对微软自身受影响产品，还研究如何最好地保护客户，因为DLL预加载问题也影响某些第三方应用程序。我们希望在此提供调查的最新进展。

首先需要明确，微软计划以最适合客户的方式解决受此问题影响的产品问题，主要通过安全更新或深度防御更新来实现。此外，由于客户需要点击一系列警告和对话框才能打开恶意文件，我们将大多数此类漏洞评级为“重要”。

微软的目标之一是让开发者能够轻松在我们的平台上创建安全应用程序。正如我们之前的博客文章所述，DLL预加载是一类众所周知的漏洞，我们早已为开发者提供了指导。最近我们更新了该指导，以提供更清晰的说明。

尽管改进了指导，我们认识到所有受影响应用程序的更新可能需要相当长的时间，且某些应用程序可能无法更新。因此，我们随公告发布了一款工具（参见KB 2264107）来帮助客户保护系统。该工具提供了一个框架，允许客户修改DLL搜索路径算法的行为，从而基本阻止不安全的DLL加载。安装后，该工具仍需配置以阻止恶意行为，客户询问了我们的推荐设置。为此，我们的安全研究与防御团队撰写了详细博客文章，并与Microsoft Fix-it团队合作开发了Fix-it，以启用推荐设置，阻止大多数基于网络的攻击向量。（请注意，启用Fix-it前需先安装该工具。）

许多企业客户要求我们简化该工具的部署。因此，我们正与Windows Update (WU) 团队合作，将该工具添加到WU目录中。这将使运行Windows Server Update Services (WSUS) 的客户更易于部署。我们计划在接下来几周内推出该解决方案。我们还考虑通过WU更广泛地发布此解决方案，作为所有客户的深度防御更新，默认状态为“关闭”。随着计划的具体化，我们将通过MSRC博客分享更多信息。

客户应注意，该工具仅能防护DLL预加载，无法保护那些未通过完全限定路径正确加载文件的.exe文件，开发者需要相应更新这些应用程序。

谢谢，

Jerry Bryant
响应通信组经理