预测与2013年1月公告发布

每年年底，有些人会花时间写下对来年的预测。而我并不做预测。我既不是预言家、先知、算命先生、预言者、透视者，也不是灵媒；尽管我曾被指责为魔术师和安全地精，但当然都是善意的。幸运的是，微软可信计算的产品管理总监Tim Rains提供了对2013年安全形势的预测。

在五个预测中，第四点最引起我的共鸣，因为我们思考新年的安全更新：

预测4：软件更新变得更简单，漏洞利用变得更困难。

我们努力确保安全更新尽可能易于安装，得益于自动更新和Windows软件更新服务（WSUS）等技术，这在很大程度上是真实的。然而，我们意识到这些技术并未覆盖您系统上可能安装的所有软件，这就是为什么我期待Tim的预测成真。从Tim的博客文章中：

随着像Adobe、Oracle等供应商让客户更容易保持无处不在的软件更新，攻击者利用旧漏洞的机会窗口将越来越小。

我们可能永远不会有完全完美的软件；然而，看到整个行业朝着更简单的更新过程迈进是令人鼓舞的。

现在，谈谈今天的新闻；今天我们发布了七个公告，两个严重级别和五个重要级别，解决了Microsoft Windows、Office、开发工具和Windows Server中的12个漏洞。对于那些需要优先部署的人，我们建议首先关注以下严重更新：

MS13-002（Microsoft XML核心服务）

此安全更新解决了Microsoft XML核心服务中的两个问题，如果受影响的系统浏览到特制网站，可能允许远程代码执行。您会注意到有适用于支持的Microsoft Windows和Office版本，以及某些开发工具和服务器软件的更新。这意味着您可能会收到多个此问题的更新。与今天发布的所有其他公告一样，这些问题都是私下披露的，我们不知道任何攻击或客户影响。

安全公告2755801

随着本月的发布，我们正在修订安全公告2755801，以提供最新的更新，解决IE 10中Adobe Flash Player的问题。这是一个累积更新，意味着客户不需要安装以前的更新作为当前更新的先决条件。我们继续致力于与Adobe密切合作，提供与Adobe更新过程一致的高质量保护。

安全公告973811

此公告正在修订，以添加一个Fix it，自动将Windows XP和Server 2003系统设置为仅允许NTLMv2。这长期以来被认为是最佳实践，此发布将使其更易于实施。KB文章也已更新，包括各种NTLM认证场景的所有建议和最佳实践。应用Fix it还启用了NTLMv2设置，使用户能够利用公告中描述的身份验证扩展保护。

请观看下面的公告概述视频，快速总结今天的发布。

一如既往，我们建议客户尽快部署所有安全更新。我们的部署优先级指南如下，以进一步协助部署规划（点击查看大图）。

我们的风险和影响图显示了本月严重性和可利用性指数的聚合视图（点击查看大图）。

有关本月安全更新的更多信息，请访问Microsoft安全公告摘要网页。

Andrew Gross和我将主持每月技术网络广播，计划于2013年1月9日星期三太平洋标准时间上午11点举行。我邀请您在此注册，并收听以了解更多关于1月安全公告和咨询的信息。

对于所有最新信息，您还可以在Twitter上关注MSRC团队@MSFTSecResponse。

我希望您的新年决心仍然完好，所有（积极的）2013年预测都成真。我期待在网络广播中听到您的问题。

谢谢， Dustin Childs 集团经理 可信计算