澄清安全通报2896666及2013年11月安全公告的提前通知

今天，我们提前通知2013年11月将发布八个安全公告，其中三个为严重级别，五个为重要级别。严重更新涉及Internet Explorer和Microsoft Windows中的漏洞，重要更新则解决Windows和Office中的问题。

尽管本次发布不会包含针对首次在安全通报2896666中描述的问题的更新，但我们希望提供更多相关信息。我们正在开发安全更新，并将在准备就绪后发布。同时，该通报包含一个Fix it工具，可防止攻击成功，建议客户应用它以帮助保护系统。我们还希望澄清通报中提到的受影响产品。由于问题所在的GDI+组件具有共享特性，我们注意到存在一些混淆。GDI+组件可以通过三种方式安装在系统中：Office、Windows和Lync。

对于Office：

• Office 2003和Office 2007无论安装在何种操作系统上均受影响。目前，我们仅了解到针对Office 2007用户的定向攻击。
• Office 2010仅在安装在Windows XP或Windows Server 2003上时受影响。安装在Windows Vista或更新系统上时不受影响。
• Office 2013无论何种操作系统平台均不受影响。

对于Windows：

• 受支持的Windows Vista和Windows Server 2008版本随附了受影响的组件，但未发现受到主动攻击。
• 其他Windows版本不受直接影响。使用这些系统的客户仅在其安装了受影响版本的Office或Lync时才会受到影响。

对于Lync客户端：

• 所有受支持的Lync客户端版本均受影响，但未发现受到主动攻击。

再次强调，我们仅了解到针对Office 2007的定向攻击。在这些攻击中，使用的操作系统为Windows XP。

一如既往，我们已将安全公告发布计划定于本月第二个星期二，即2013年11月12日，大约上午10:00（太平洋标准时间）。届时请重新访问此博客，以获取风险与影响分析、部署指南以及本月更新的简要视频概述。在此之前，请查看ANS摘要页面，获取更多有助于客户准备安全公告测试和部署的信息。

别忘了，您还可以在Twitter上关注MSRC团队的最新活动@MSFTSecResponse。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算