理论思考与2014年6月公告发布

作为安全专业人员，我们被训练成以最坏情况来思考。我们在理论领域中穿梭，追逐“假设”情景，就像收集萤火虫并储存在玻璃罐中一样。大多数时候，这种思考方式对安全专业人员来说绝对是正确的。我们需要为这些破坏性事件的发生做好准备，而不是假设它们不会发生。然而，偶尔从这种假设心态中抽身，转而关注当下的实际影响，也是富有成效的。

说到当下，今天我们发布了七个安全公告，其中两个评级为严重，五个评级为重要，解决了Microsoft Windows、Internet Explorer和Microsoft Office客户的66个常见漏洞和暴露（CVE）。但在深入更新细节之前，我想花点时间提供一些关于我们如何评估和推荐这些严重性评级的额外见解。对于每个问题，我们考虑“假设”——潜在网络攻击的最严重后果是什么？我们想为客户提供最佳的风险评估指导，这需要考虑最坏情况。

如果我们把最坏情况比作森林中倒下的树，如果周围没有人听到，会有声音吗？同样，如果一个漏洞从未被利用，它会发出声音吗？当我们意识到潜在的安全问题时，无论是否受到主动攻击，我们都会努力修复它。换句话说，那棵倒下的树是否发出噪音并不重要；我们仍然需要采取行动。为什么？因为如果今天不解决，未来某天我们交付的内容可能会被利用。然而，我们不在未来；我们在当下。在这个领域中，我们有时会将理论思考与实际对真实人群的影响混淆。直到某事实际发生，它仍然是理论；我们正在将理论转化为针对未来“假设”的实际更新。

让我们看看本月发布的一个例子。Internet Explorer（IE）的安全公告解决了59个项目，包括CVE-2014-1770。其中最严重的可能允许远程代码执行，如果用户查看由网络罪犯特别制作的网页。我们仍然没有看到任何试图利用此公告解决的其他CVE的主动攻击。虽然这次解决了许多问题，但重要的是要注意，据我们所知，这些现已解决的CVE至今尚未对客户造成任何影响。

在主动攻击发生前解决问题有助于更好地保护客户。本月的Internet Explorer更新包括额外的安全更新，将帮助保护我们的客户，这是保持最新更新的另一个原因。

如果您看过IE团队最近的博客，您还会看到另一条消息：客户应更新到最新版本的Internet Explorer。对于Windows 7和Windows 8.1，这意味着Internet Explorer 11——我们构建的最现代、最安全的浏览器。IE11具有高级安全功能，如增强保护模式（EPM）和SmartScreen过滤器，支持现代Web标准，以及用于呈现传统Web应用程序的企业模式。Internet Explorer 11比旧版本安全得多，这就是我们鼓励客户升级的原因。

今天还发布了其他六个公告以改善您的安全。有关本月安全更新的更多信息，包括按CVE分解的漏洞利用索引详细视图，请访问Microsoft公告摘要网页。

以下是今天发布的所有更新的概述： 点击放大

一如既往，我们鼓励您应用所有更新，但对于那些优先考虑的人，我们建议将Word和Internet Explorer更新放在列表的首位。

最后，我们正在修订安全公告2755801，提供Internet Explorer中Adobe Flash Player的最新更新。该更新解决了Adobe安全公告APSB14-16中描述的漏洞。有关此更新的更多信息，包括下载链接，请参阅Microsoft知识库文章2966072。

观看下面的公告概述视频，简要总结今天的发布。 Andrew Gross和我将主持每月安全公告网络广播，计划于2014年6月11日星期三太平洋时间上午11点举行。我邀请您在此注册，并收听以了解更多关于本月安全公告的信息。

如需所有最新信息，您也可以在@MSFTSecResponse关注我们。 我期待在明天的网络广播中听到关于本月发布的任何问题。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算