2010年9月安全公告发布

大家好，

通过本月的公告发布，我想重点介绍通过微软主动保护计划（MAPP）合作伙伴关系完成的出色工作。MAPP代表了我们对基于社区的防御的承诺，以及帮助保护计算生态系统的共同责任感。今年7月，Stuxnet恶意软件出现在威胁环境中，导致发布了带外安全更新MS10-046，以解决该恶意软件用于入侵系统的零日漏洞。此外，我们在8月更新了微软恶意软件删除工具（MSRT）以删除Stuxnet，根据我们的遥测数据，威胁已从8月初的高峰大幅下降。

自那时起，微软和我们的MAPP计划合作伙伴继续调查这种极其复杂的恶意软件。今天，我们发布MS10-061，以解决另一个由卡巴斯基实验室首先发现并报告给我们，随后由赛门铁克报告的漏洞。这个打印后台处理服务漏洞对Windows XP评级为严重，对所有其他受影响平台评级为重要，Stuxnet利用它传播到网络内打印后台处理服务暴露且无需身份验证的系统。

此外，微软研究人员发现了另外两个权限提升（EoP）漏洞（其中一个也由卡巴斯基报告给我们，随后由赛门铁克独立确认），恶意软件利用这些漏洞获得对受感染系统的完全控制。其中一个EoP漏洞影响Windows XP，另一个影响Windows Vista、Windows 7、Windows Server 2008和Windows Server 2008 R2。这些是本地EoP问题，意味着攻击者（在此案例中是Stuxnet）已经有权在系统上运行代码或通过其他方式入侵了系统。我们目前正在努力在未来的公告中解决这两个问题。

我们要感谢卡巴斯基实验室和赛门铁克在发现这些漏洞方面的合作，以及与我们一起协调保护客户。这正是基于社区的防御的核心。

在我们查看本月其他高优先级公告时，我想强调一个事实：Windows 7或Windows Server 2008 R2没有严重公告。这是由于安全增强，如新操作系统中内置的额外堆缓解措施。此外，本月的Office公告不影响Office 2010。我还要说明，我们仍在调查和处理影响这些平台的公共问题。我们希望客户知道，我们继续努力解决这些问题，并且我们以可预测的方式生成全面更新并发布它们，这是您购买我们软件时“内置”的功能。

从下面的聚合严重性和可利用性指数图表中可以看出，有两个公告既是严重的，又具有可利用性指数评级为1。第一个是我上面讨论的MS10-061，第二个是MS10-062，涉及MPEG-4编解码器中的漏洞，影响受支持的Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008版本。如果用户打开特制媒体文件或从网络接收流内容，此问题可能被利用。

其余公告在我们的部署优先级列表中评级为2或3。此指南旨在帮助客户优先处理公告部署，并基于多个因素，包括严重性、可利用性、平台广度以及可用的缓解措施和变通方案。由于每个环境不同，我们建议客户相应评估并尽快应用更新。

在下面的视频中，Adrian Stone和我概述了本月的公告发布，并讨论了我们如何优先处理这些公告。

请明天，9月15日太平洋夏令时间上午11:00（UTC-7），加入Adrian和我的公开网络广播，我们将更详细地讨论这些公告。我们还将有一屋子主题专家待命，帮助在会议期间回答您的所有问题。您可以在此注册： https://msevents.microsoft.com/CUI/Register.aspx?culture=en-US&EventID=1032454433

本月我们还将发布两个安全公告：

• 安全公告2401593，描述了影响Outlook Web Access（OWA）的漏洞，可能影响Microsoft Exchange客户获得权限提升。成功利用此漏洞的攻击者可能劫持经过身份验证的OWA会话。
• 安全公告973811，是一个更新的公告，使Outlook Express和Windows Mail能够选择加入身份验证的扩展保护。

最后，本月我们还发布了用户配置文件配置单元清理服务的更新。这是一个适用于Windows 2000、Windows XP和Windows Server 2003的可选工具，简化了用户管理。该工具未得到微软正式支持，但由于它是许多系统管理员的常用工具，我们发布了新版本以解决安全研究人员报告的安全漏洞。更多信息可以在UPHClean博客上找到。

谢谢！ Jerry Bryant 响应通信组经理