大家好，我是MSRC的Mike Reavey。今天我们发布了2010年12月安全公告的前瞻通知服务。像每个月一样，我们提供了即将发布的12月公告信息，并附上详细信息的链接，以便您按产品、服务包级别和严重性规划部署。由于这是今年的最后一次发布，我认为这也是回顾过去12个月安全发布的好时机。

首先，12月我们将发布17个更新，解决Microsoft Windows、Office、Internet Explorer、SharePoint和Exchange中的40个漏洞。在这17个公告中，2个被评为严重，14个被评为重要，1个被评为中等。一如既往，我们建议客户查看ANS摘要页面获取更多信息，并尽快准备测试和部署这些公告。

回顾2010年，公告总数达到106个，比往年发布的公告更多。这部分是由于Microsoft产品的漏洞报告略有增加，正如我们最新的安全情报报告所示。考虑到产品生命周期和漏洞研究的性质，这并不令人惊讶。Microsoft支持产品长达十年。（事实上，我们本世纪初最流行的操作系统之一，XP SP2，在2010年中期达到了其支持生命周期结束。）另一方面，漏洞研究方法不断变化和改进。旧产品遇到新的攻击方法，加上漏洞市场的整体增长，导致更多的漏洞报告。与此同时，以合作方式报告给我们的漏洞百分比继续保持高位，约为80%；换句话说，对于大多数漏洞，我们能够在问题广为人知之前发布全面的安全更新。

归根结底，Microsoft的主要重点是为客户发布可靠、高质量的更新。客户的反馈表明，这是最小化中断并允许他们快速部署我们更新的最重要因素——甚至比安全更新的总数更重要。

回到本月的公告。本月我们解决了两个最近引起关注的问题。首先，我们将关闭本月最后一个与Stuxnet相关的问题。这是一个本地权限提升漏洞，除了Stuxnet恶意软件之外，我们没有看到它在主动攻击中被利用的证据。我们还在解决安全公告2458511中描述的Internet Explorer漏洞。在过去的一个月里，Microsoft和我们的MAPP合作伙伴积极监控了围绕此漏洞的威胁环境，我们监控到的攻击尝试总数仍然相当低。此外，由于数据执行保护（DEP）提供的额外保护，运行Internet Explorer 8的客户默认受到保护。就此，我想指向安全研究与防御团队博客上的一篇新文章，描述了DEP和ASLR对我们今天在野外看到的攻击类型的有效性。

我们鼓励客户查看本月的公告，并根据其环境的需求优先安装。（当然，对于大多数家庭用户，这些更新将自动安装。）如果您有问题，请加入我们下周三（12月15日）Jonathan Ness和Jerry Bryant主持的现场网络广播，涵盖12月公告。他们将详细介绍发布内容，并现场回答您的公告相关问题。在以下链接注册：

日期：星期三，12月15日 时间：太平洋标准时间上午11:00（UTC -8） 注册：https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032454441

谢谢， Mike Reavey MSRC总监