2012年8月安全公告发布

安全公告2661254 - 最小证书密钥长度更新

在详细介绍本月安全公告之前，我们先关注Windows处理RSA密钥长度小于1024位证书的重要变更。自6月起我们持续讨论此议题，今日通过安全公告2661254宣布推出Windows更新，限制使用RSA密钥长度小于1024位的证书。该更新可通过下载中心和Microsoft更新目录获取，企业管理员可下载并导入WSUS进行测试后再全面部署。安全公告包含配置指南和安全建议，计划于2012年10月通过Windows Update发布。

关于Windows证书处理机制的深度防御变更详情，请访问公钥基础设施(PKI)博客。

安全更新

本次"更新星期二"发布9项安全公告（5项严重级、4项重要级），修复Microsoft Windows、Internet Explorer、Exchange Server、SQL Server、服务器软件、开发工具和Office中的26个漏洞。部署优先级建议重点关注以下三项关键更新：

MS12-060（Windows通用控件）

多个软件产品使用Windows通用控件，此公告影响Office、SQL Server、服务器软件和开发工具。我们注意到存在有限的针对性攻击尝试利用此漏洞，但尚未发现公开的概念验证代码。微软建议客户尽快测试并部署此更新。

MS12-052（Internet Explorer）

此安全更新修复四个私下披露的漏洞，目前均未发现活跃攻击。成功利用可能导致以当前用户权限执行代码。请注意，Internet Explorer累积安全更新中的一个漏洞同时列于MS12-056（JScript和VBScript引擎）。由于该漏洞影响IE和Windows组件，需同时应用两个更新以确保系统安全。

MS12-054（Windows网络组件）

此安全更新修复三个远程管理协议(RAP)相关漏洞和一个打印后台处理程序漏洞。影响范围从拒绝服务(DoS)到远程代码执行(RCE)。所有漏洞均通过协调披露报告，目前无利用报告。建议客户尽快测试部署。

其余六项公告中，两项为严重级：分别影响远程桌面协议和Exchange Server；四项为重要级，涉及Windows和Office。

安全更新重新发布

上月发布的MS12-043修复Microsoft XML核心服务问题，7月版本提供3.0、4.0和6.0版本更新。本月重新发布MS12-043，新增5.0版本更新，不影响之前版本的更新。

部署建议

我们建议客户尽快部署所有安全更新。下方部署优先级指导图提供本月严重性和可利用性指数的聚合视图（点击查看大图）。关于可利用性指数和公告细节的深入分析，请参阅安全研究与防御(SRD)博客。

更多本月安全更新信息请访问Microsoft安全公告摘要页面。太平洋时间8月15日上午11点将举办网络直播，Jonathan Ness和Dustin Childs将详细介绍本月公告内容并实时回答问题。点击此处注册。

Yunsun Wee
Microsoft可信计算