2009年8月安全公告发布

大家好，

本月我们发布了九个安全公告。其中五个评级为“关键”，四个的总体严重性评级为“重要”。在这九个更新中，八个影响Windows，最后一个影响Office Web Components (OWC)。值得注意的是，六个关键更新中有五个的“可利用性指数”评级为“1”，这意味着我们预计在发布后的30天内，野外会出现一致、可靠的代码试图利用这些漏洞中的一个或多个。下图显示了所有九个公告的总体严重性摘要和可利用性指数评级。此概览图表应指导您优先处理本月的更新，以有效且高效地保护您的系统。

重点关注更新

本次发布中特别值得注意的是MS09-037，这是Microsoft Active Template Library (ATL)的更新。此公告中的五个更新包括对Microsoft Video ActiveX Control的二进制级别更新。您可能还记得，我们最初于7月6日发布了安全公告972890，以应对针对此组件的主动攻击，随后发布了安全公告MS09-032以提供官方的kill bit更新（而不是公告中提供的临时Microsoft Fix it）。所有包含的漏洞都是私下报告的，具有关键严重性，并在我们的可利用性指数上评级为“1”。我们鼓励您尽快部署此更新。我们将更新安全公告973882以包含对此公告的引用，因为它与ATL相关。

另一个我想提请关注的更新是MS09-043，它解决了安全公告973472中讨论的Office Web Components漏洞。鉴于我们已经在野外看到利用，我们强烈鼓励客户在适用的情况下审查并部署此公告。尽管此更新解决了ActiveX控制问题，但它与我们在安全公告973882中讨论的ATL问题无关。

如果您在Windows 2000或Windows Server 2003上运行WINS服务器，那么我还想提醒您注意MS09-039，因为它有可能在网络上进行未经身份验证的自我复制攻击。安装更新将保护您的系统，以防任何攻击被开发以利用此更新中解决的漏洞，但目前我们不知道野外有任何利用代码。

在下面的视频中，Adrian Stone和我提供了本月发布的概述，并更详细地讨论了上述更新。有关所有九个公告的更多详细信息，请于明天（8月12日）上午11:00（UTC-7）加入我们的每月公告网络广播，我们还将回答您有关这些更新的问题。点击此处注册 »

重新发布的公告

本月我们还重新发布了两个公告：

• MS09-029：解决各种Windows平台上的打印后台处理程序问题，该问题可能导致打印后台处理程序在某些情况下停止响应。详情请参阅知识库文章961371。
• MS09-035：为Visual Studio 2005 SP1、Visual Studio 2008和Visual Studio 2008 SP1提供新更新。新的安全更新适用于使用Visual Studio为移动应用程序创建组件和控制的开发人员，这些应用程序使用ATL for Smart Devices。所有Visual Studio开发人员都应安装这些新更新，以便他们可以使用Visual Studio创建不易受报告问题影响的组件和控制。有关此已知问题的更多信息，请参阅知识库文章969706。

额外建议

在本月博客文章结束时，我鼓励系统管理员和应用程序开发人员阅读今天也发布的安全公告973811。这是一个非安全更新，启用新的保护技术，可用于增强网络连接身份验证时凭据的保护。

一如既往，请查看安全研究与防御博客以获取有关这些更新的其他技术信息，我们希望明天在网络广播中见到您。

谢谢， Jerry Bryant 此帖子按“原样”提供，不提供任何保证，也不授予任何权利