改进的加密基础设施与2013年6月安全公告

就在一年多前，确切地说是2012年5月28日，我从负责处理活跃的MSRC案例和撰写安全公告，转到了目前管理软件安全事件的职位。这一年发生了很多变化——我在任期内处理了一些有趣的问题——但我们提供最佳客户保护的目标始终不变。例如，在2012年6月，我们引入了一项新功能，可以自动更新证书信任列表（CTL），使我们能够快速将不受信任或受损的证书移至CTL，而无需客户干预。由于此功能通过互联网检查新更新来工作，因此过滤此类网络流量的企业无法充分利用此功能。

今天，我们通过发布安全公告2854544的形式，在此功能的基础上进行了扩展，为企业提供了更多管理其私有公钥基础设施（PKI）环境的选项。此功能最初内置于Windows 8、Windows Server 2012和Windows RT中，现在可用于Windows Vista至Windows 7。在接下来的几个月里，我们将为此公告推出更多更新——所有这些都旨在加强Windows的加密和证书处理基础设施。我们在这里的努力并非针对任何特定事件；而是我们处理数字证书方式的持续演进，以确保为客户提供最安全的计算环境。

谈到更安全的计算，让我们讨论一下今天发布的五个安全公告——一个关键级别和四个重要级别，解决了Microsoft Windows、Office和Internet Explorer中的23个漏洞。对于需要优先部署的用户，我们建议首先关注MS13-047和MS13-051。一如既往，客户应尽快部署所有安全更新。我们的公告部署优先级指南如下，以进一步协助部署规划（点击查看大图）。

MS13-047 | Internet Explorer累积安全更新

此安全更新解决了Internet Explorer中的19个问题，如果客户使用浏览器查看特制网页，可能允许远程代码执行。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。此安全更新对于所有版本的Internet Explorer，在所有受支持的Microsoft Windows版本上均被评为关键级别。这些问题已私下披露，我们未检测到任何攻击或客户影响。

MS13-051 | Microsoft Office中的漏洞可能允许远程代码执行

此安全更新解决了Microsoft Office中一个私下报告的漏洞。如果用户使用受影响的Microsoft Office软件版本打开特制Office文档，或在Outlook中使用Microsoft Word作为电子邮件阅读器预览或打开特制电子邮件，此漏洞可能允许远程代码执行。此问题对于Microsoft Office 2003和Office for Mac 2011被评为重要级别。虽然此问题的细节已私下披露，但我们知道存在有限的、针对性的攻击尝试利用此漏洞。

观看下面的公告概述视频，简要总结今天的发布内容。

我们的公告部署优先级图提供了本月优先级发布的概述（点击查看大图）。

我们的风险和影响图显示了本月严重性和可利用性指数的聚合视图（点击查看大图）。

有关本月安全更新的更多信息，请访问Microsoft公告摘要网页。

Andrew Gross和我将主持每月公告网络广播，计划于2013年6月12日星期三太平洋时间上午11点举行。我邀请您在此注册，并收听以了解更多关于本月安全公告和咨询的信息。

有关所有最新信息，您还可以在Twitter上关注MSRC团队@MSFTSecResponse。

我期待在明天的网络广播中听到您关于本月发布的问题。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算