未来展望与2014年1月安全公告发布
一月,有些人喜欢预测未来一年,但我不是其中之一。我更喜欢引用尼尔斯·玻尔的话:“预测非常困难,尤其是关于未来。”然而,我可以毫无疑问地说,2014年将迎来变化。
二月,证书中MD5哈希算法的使用将受到限制,正如首次在安全公告2862973中讨论的那样,更新将于11日通过Microsoft Update发布。这将影响使用MD5哈希算法证书的应用程序和服务,仅适用于用于服务器身份验证、代码签名和时间戳的证书。限制仅限于Microsoft根证书程序中根证书颁发的证书。
Windows XP的支持将于四月结束。关于这一重要事件已经有很多讨论,因此我不再赘述。当然,我们意识到,支持结束并不意味着XP的使用会结束——这让全球的攻击者非常高兴。我不确定是否可能对一个操作系统有美好的回忆,但XP将永远在我心中占据温暖的位置——只是不在我的笔记本电脑上。
六月将带来Windows Authenticode验证功能的变更。这更多地影响开发者而非消费者,但这是一个重要的变更。一旦实施,如果Windows识别到不符合Authenticode规范的内容,某些程序将被视为“未签名”。您可以在安全公告2915720和SRD博客上阅读有关此变更的所有信息。
有些事物将保持不变。无论晴雨,我们仍将在每月的第二个星期二为您带来最新的安全更新。本月,我们发布了四个安全公告,解决了Microsoft Windows、Office和Dynamics AX中的六个独特CVE。本月的所有更新均被评为重要。以下是本月发布的概述:
本月的最高部署优先级是MS14-002,它解决了Windows内核中一个公开已知的问题。
MS14-002 | Windows内核中的漏洞可能允许权限提升
此公告解决了首次在安全公告2918840中描述的问题,该问题允许攻击者在登录系统并运行特制应用程序时执行权限提升。我们意识到有针对性的攻击利用此漏洞,攻击者试图诱骗某人打开特制PDF以访问系统。即使在我们首次发现时,攻击的PDF部分也不影响那些系统完全更新的用户。
我们还重新发布了MS13-081,为Windows 7和Windows Server 2008 R2重新提供KB2862330。重新发布的更新解决了原始提供中的问题,该问题导致KB2862330更新在某些带有第三方USB驱动器的系统上失败或仅部分安装。如果您运行受影响的系统,将重新提供新更新,我们鼓励您尽早安装。
最后,我们还修订了安全公告2755801,提供了Internet Explorer中Adobe Flash Player的最新更新。该更新解决了Adobe安全公告APSB14-02中描述的漏洞。有关此更新的更多信息,包括下载链接,请参阅Microsoft知识库文章2916626。
观看下面的公告概述视频,简要总结今天的发布。
有关本月安全更新的更多信息,包括按CVE分解的漏洞利用指数详细视图,请访问Microsoft公告摘要网页。
William Peteroy和我将主持每月公告网络广播,计划于2013年1月15日星期三太平洋标准时间上午11点举行。我邀请您在此注册,并收听以了解更多关于本月安全公告和咨询的信息。
如需所有最新信息,您还可以在@MSFTSecResponse关注我们。
我期待在明天的网络广播中听到您关于本月发布的问题。
谢谢,
Dustin Childs
响应通信组经理
Microsoft可信计算