演进中的响应机制与2013年3月安全公告发布

随着我在安全响应领域职业生涯的发展，我常想起意大利作家朱塞佩·托马西·迪·兰佩杜萨的话：“如果我们希望一切保持原样，就必须让一切改变。”有些事物我们希望保持不变。在微软，我们努力为客户提供保护，同时在流程中保持透明，在指导中保持权威。当然，随着计算环境的变迁，我们必须随之调整，以持续达成这一目标。

最近的一个变化是Windows商店中提供的应用程序的增加。正如Mike Reavey在今天博客中提到的，我们深思熟虑了如何为这些应用提供安全更新。最终，我们的决策让客户能够及时轻松地获取所需的安全更新，同时不牺牲透明度。更新过程将与Windows商店应用的任何其他更新类型相同。不同之处在于，我们将通过安全公告记录安全问题，并在发布新更新时更新公告。您可以在此处阅读这些应用的完整政策。

另一个变化涉及“安全10大不变法则”之一。法则3指出： “如果坏人拥有对您计算机的无限制物理访问权，那就不再是您的计算机了。” 这一法则至今仍然成立。我们无法提供更新来防范字面意义上的大锤拒绝服务攻击。然而，我们意识到临时物理访问与无限制物理访问之间存在差异。本月，我们正在解决内核模式驱动程序（KMD – 详情如下）中的一个问题，攻击者可以通过插入恶意USB设备来控制您的机器。虽然这不是第一个利用物理访问和USB设备的问题，但它的不同之处在于不需要机器登录。它还提供内核级代码执行，而以前的攻击只允许在登录级别执行代码。因此，拥有临时物理访问权的人，例如夜间清扫办公室的保洁人员或巡逻的保安，只需插入USB设备即可作为管理员执行任何操作。

这与无限制物理访问大不相同，后者需要同一人窃取您的机器、使用可移动媒体启动并解密硬盘上的文件。虽然由于需要物理访问，可能容易忽视这类问题，但我们再次希望为客户做最好的事。临时物理访问结合内核模式代码执行构成了足够大的威胁，因此我们发布了更新来解决此问题。

虽然这种攻击方式听起来像适合最新的Brad Meltzer惊悚片，但应用更新提供了针对此问题的必要保护。这也提醒公司在其威胁模型中包括物理安全。

当然，这些变化都不是革命性的，但我们认识到必须继续演进我们的流程，以匹配计算和信息安全的持续发展。这是我们经常自问的问题——这是保护客户的最佳方式吗？每当答案从是变为否时，我们就会适应和成长，让答案重回坚定的“是”。

现在来看今天的公告。 我们发布了7个公告，四个严重级别和三个重要级别，解决了Microsoft Windows、Office、Internet Explorer、服务器工具和Silverlight中的20个漏洞。对于需要优先部署的用户，我们建议首先关注MS13-021、MS13-022和MS13-027。

MS13-021（Microsoft Internet Explorer） 此安全更新解决了Internet Explorer中的九个问题。最严重的漏洞可能允许远程代码执行，如果用户使用Internet Explorer查看特制网页。成功利用这些漏洞的攻击者可以获得与当前所有者相同的权限。除一个问题外，所有问题均为私下披露，我们未检测到任何攻击或客户影响。

MS13-022（Microsoft Silverlight） 此安全更新解决了Microsoft Silverlight中的一个问题。该漏洞可能允许远程代码执行，如果攻击者托管包含特制Silverlight应用程序的网站，该程序可利用此漏洞，然后说服用户查看该网站。此问题为私下报告，我们未检测到任何攻击或客户影响。

MS13-027（内核模式驱动程序） 此安全更新解决了Microsoft Windows中的三个问题。这些漏洞可能允许权限提升，如果攻击者获得对系统的访问权。在默认配置下，未经身份验证的攻击者只有拥有系统物理访问权才能利用此漏洞。同样，这些问题为私下报告，我们未检测到任何攻击或客户影响。

请观看下面的公告概述视频，快速总结今天的发布。 一如既往，我们建议客户尽快部署所有安全更新。我们的部署优先级指导如下，以进一步协助部署规划（点击查看大图）。

我们的风险和影响图显示了本月严重性和可利用性指数的聚合视图（点击查看大图）。

有关本月安全更新的更多信息，请访问Microsoft安全公告摘要网页。 Andrew Gross和我将主持每月技术网络广播，计划于2013年3月13日星期三太平洋时间上午11点举行。我邀请您在此处注册，并收听以了解更多关于3月安全公告和咨询的信息。 有关所有最新信息，您还可以在Twitter上关注MSRC团队@MSFTSecResponse。 希望您能够演进自己的响应流程以应对下一个安全挑战，并期待在网络广播中听到您的问题。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算