2011年1月安全公告发布

大家好——

今天，作为我们月度安全公告发布的一部分，我们发布了两份公告，解决了Microsoft Windows和Windows Server中的三个漏洞。第一份公告评级为“重要”，第二份为“关键”。

MS11-001：此公告解决了一个已报告的问题，评级为“重要”，影响Windows Vista。该安全公告涉及Windows备份管理器中的一个漏洞。其可利用性指数评级为1，部署优先级列表评级为2。

MS11-002：此公告解决了影响所有受支持Windows版本的两个漏洞。第一个漏洞对Windows XP、Vista和Windows 7评级为“关键”，第二个漏洞对所有受支持的Windows Server版本评级为“重要”。它涉及Microsoft Data Access Components（MDAC）。其可利用性指数评级为1，并且由于存在基于Web的攻击向量，因此位于我们部署优先级列表的顶部。

我们尚未意识到存在概念验证代码或任何试图利用本月发布中解决的漏洞的主动攻击。

在下面的视频中，Jerry Bryant详细讨论了本月的公告：

[视频内容]

一如既往，我们建议客户尽快部署所有安全更新。以下是我们部署优先级指南，以进一步协助客户进行部署规划（点击查看大图）。

[部署优先级图表]

我们的风险和影响幻灯片显示了严重性和可利用性指数的汇总视图：

[风险和影响幻灯片]

有关本月安全更新的更多信息，请访问Microsoft安全公告摘要网页。

本月，我们正在修订安全公告2488013，以包含一个额外的解决方法，该解决方法以FixIt包的形式提供，使用Windows应用程序兼容性工具包来保护客户免受此漏洞的影响。此解决方法仅适用于已安装Internet Explorer的MS10-090更新的系统。公告中讨论的漏洞发生在攻击者创建指向自身的恶意CSS文件并提供给Internet Explorer时。此操作会破坏内存并可能被利用。鼓励客户审查新的解决方法并评估其特定环境。请参阅安全研究与防御博客以获取更多技术信息，并在此处下载FixIt包。

上个月，我们发布了一篇博客，讨论了将Office文件验证回溯到Office 2003和2007的计划。我们尚未宣布正式发布日期，但Office团队发布了一篇文章，展示了文件未通过Office文件验证时的用户体验。

最后，请加入由Jerry Bryant和Dustin Childs主持的月度技术网络广播，以了解更多关于2011年1月安全公告发布的信息。网络广播定于2011年1月12日星期三太平洋标准时间上午11:00（UTC-8）举行。注册可在此处进行。

有关所有最新信息，您可以在Twitter上关注MSRC团队@MSFTSecResponse。

谢谢，

Carlene Chmaj
高级安全响应通信经理