大家好， 今天，作为我们每月定期安全公告发布周期的一部分，我们发布了10个公告，解决了Windows、Microsoft Office（包括SharePoint）、Internet Explorer（IE）、Internet Information Services（IIS）和.NET Framework中的总共34个漏洞。其中只有三个公告获得了我们的最高严重性评级“关键”。其余被评为“重要”。然而，我们鼓励客户尽快测试和部署所有适用的安全更新。

这三个关键公告是本月的最高部署优先级。它们是：

• MS10-033 是Quartz.dll和Asycfilt.dll中的远程代码执行漏洞，在所有受支持的Windows版本上被评为关键。特制的媒体文件可能在用户访问网页或打开恶意文件时触发该漏洞。
• MS10-034 是ActiveX Kill Bits的累积更新，在Windows 2000、XP、Vista和Windows 7上被评为关键。我们为两个Microsoft控件应用了Kill Bits：Internet Explorer 8开发者工具控件和Data Analyzer ActiveX控件。后者默认未安装。此外，还有四个第三方控件的Kill Bits。请查看公告以获取更多详细信息。
• MS10-035 是Internet Explorer的累积更新。在公告中解决的六个漏洞中，只有一个信息泄露漏洞是公开已知的。此问题在安全公告980088中被识别。我们仍未意识到针对此漏洞的任何主动攻击。

在下面的视频中，Adrian Stone和我详细讨论了这三个优先级公告，并解释了为什么每个都应位于您安装列表的顶部：

[视频链接]

更多收听和观看选项：- Windows Media Video (WMV) - Windows Media Audio (WMA) - iPod Video (MP4) - MP3 Audio - High Quality WMV (2.5 Mbps) - Zune Video (WMV)

此外，下面附带了6月的总体风险和影响幻灯片。请注意，我们通常不为ActiveX Kill Bits提供可利用性指数评级，但如前所述，此更新应为高优先级。

[幻灯片图片]

以下是我们整体的部署优先级信息：

[部署优先级图片]

我想在这里讨论特定公告的其他细微差别，以消除潜在的混淆：

• MS10-032 是受影响Microsoft产品中的权限提升问题。如果应用程序在调用受影响的API时未能正确请求缓冲区长度，则存在潜在的远程向量。所有Microsoft应用程序都正确进行了此调用，但可能存在其他应用程序未正确进行。无论如何，安装此更新可解决所有向量的问题。有关此问题的更多详细信息，请参阅我们的安全研究与防御（SRD）博客。
• MS10-036 是COM验证更新。此问题可能导致通过Office应用程序中的ActiveX进行攻击。这不是新的攻击向量，但底层漏洞是新的，公告解决了它。为了进一步澄清，我想指出Office XP没有更新所需的架构。但是，对于在Windows XP或更新操作系统上运行Office XP的客户，我们提供了一个可防止漏洞的shim。该shim可通过Microsoft FixIt安装，可从KB983235下载。
• MS10-039 是SharePoint相关更新，解决了安全公告983438中提到的权限提升漏洞。我们目前未意识到针对此问题的任何攻击。

像往常一样，我们的SRD团队写了几篇博客文章，详细讨论了一些本月的公告，我鼓励客户查看这些文章以获取更多见解：http://blogs.technet.com/b/srd。

如果您对6月公告有疑问，请参加我们明天由我和MSRC的Adrian Stone主持的公开网络广播。我们将详细讨论每个公告，并尝试与一屋子主题专家一起回答您的所有问题。注册方式如下： 时间：2010年6月10日星期三，太平洋夏令时间上午11:00（UTC -7） 注册：https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395226 希望您能加入我们。 谢谢！ Jerry Bryant 响应通信组经理 在Twitter上关注我们：@MSFTSecResponse [June 2010 Security Bulletin Release Information.ppt]