深入解析2013年12月微软安全更新:公告与建议的区别

本文详细解析微软2013年12月发布的11个安全公告和3个安全建议,涵盖Windows、IE、Office等产品的24个CVE漏洞修复,区分公告与建议的应用场景及部署优先级。

Omphaloskepsis与2013年12月安全更新发布

有时我们会过于熟悉某个主题,了解其所有细节和微妙之处,却忽略了并非所有人都具备相同的认知。无论是近视、自省还是人性使然,效果都是一样的。在最近的网络直播中,有人提问——“安全建议和安全公告有什么区别?”时,我意识到了这一点。答案对我来说很简单,因为我从事这项工作多年,但这个问题很有价值,它提醒我并非地球上的每个人都了解“更新星期二”的所有细节。

鉴于本月的发布,这个问题很及时,因为我们今天发布了11个公告和3个新建议。在浏览今天的发布内容时,我认为退一步仔细看看我们经常使用的一些术语会很有帮助。让我们从查看12月的公告开始。

您可能会注意到图表与过去几个月有很大不同。在新格式中,您在整个卡片中看到的圆圈是部署优先级。方块中的数字代表漏洞利用指数,彩色文字表示公告严重性。

在审查本月的顶级公告部署优先级时,让我们暂停一下,回顾安全公告的官方定义。

安全公告包括以下内容:

  • 所有受影响产品的详细信息
  • 常见问题列表
  • 有关解决方法和缓解措施的信息
  • IT人员解决问题所需的任何其他信息

但这并没有真正解释为什么发布安全公告。简而言之,当我们发布的某些内容有重要的安全相关更新时,它就会进入安全公告。如果软件中的问题可以通过应用新软件来纠正,它就会成为安全公告。Windows内核更新?安全公告。Internet Explorer累积更新?安全公告。.NET Framework代码问题?安全公告。我想您明白我的意思了。

本月,我们有11个安全公告,5个严重,6个重要,解决了Microsoft Windows、Internet Explorer、Office和Exchange中的24个独特CVE。对于需要优先部署规划的人员,我们建议关注MS13-096、MS13-097和MS13-099。

MS13-096 | Microsoft图形组件中的漏洞可能允许远程代码执行 此安全更新解决了Microsoft Windows、Microsoft Office和Microsoft Lync中公开披露的漏洞。如果用户查看包含特制TIFF文件的内容,该漏洞可能允许远程代码执行。正如我们通过ANS强调的那样,此更新完全解决了首先在安全建议2896666中描述的问题。对于通过建议安装了Fix it的用户,在安装更新之前不需要卸载Fix it,但我们建议在安装后禁用Fix it以确保正确显示TIFF图像。

MS13-097 | Internet Explorer累积更新 此安全更新解决了Internet Explorer中七个私下报告的漏洞。如果用户使用Internet Explorer查看特制网页,最严重的漏洞可能允许远程代码执行。成功利用最严重漏洞的攻击者可以获得与当前用户相同的用户权限。

MS13-099 | Microsoft脚本运行时对象库中的漏洞可能允许远程代码执行 此安全更新解决了Microsoft Windows中私下报告的漏洞。如果攻击者说服用户访问特制网站或托管特制内容的网站,该漏洞可能允许远程代码执行。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。

除了安全公告,本月我们还发布了三个安全建议并修订了一个。那么安全建议与安全公告有何不同?毕竟,有时我们也会在安全建议中看到更新——包括本月的建议。有什么区别?

考虑建议的最简单方法是将其视为行动号召。对于公告,更新通常通过Windows或Microsoft Update发送。如果您启用了自动更新,则无需采取任何操作——更新将安装,如果需要,您的系统将重新启动。即使您手动应用所有更新,公告也只需要安装包并可能重新启动服务或系统。建议涵盖可能影响您的安全但无法仅通过更新解决的问题。让我们以本月的建议为例。

安全建议2905247 – 不安全的ASP.NET站点配置可能允许权限提升 此更新使管理员能够配置其ASP.NET服务器,以确保视图状态MAC始终保持启用,并提供有关如何在IIS服务器上启用视图状态MAC的一般指南。

在这种情况下,我们不是纠正错误代码;而是允许管理员强制执行比非默认设置更安全的默认行为。

安全建议2871690 – 更新以撤销不合规的UEFI模块 此建议通知客户,Windows 8和Windows Server 2012有一个可用的更新,用于撤销特定统一可扩展固件接口(UEFI)模块的数字签名。受影响的UEFI模块包括特定的Microsoft签名模块,这些模块要么不符合我们的认证计划,要么其作者要求撤销包。此更新适用于仅用于测试目的的九个私有第三方UEFI模块。

虽然这似乎可以通过安全公告解决,但这些UEFI模块已知不在公共分发中。很可能,您不受影响。您的朋友不受影响。您认识的任何人都不受影响。尽管如此,我们不能100%确定没有人受影响,因此我们发布此建议并提供检查说明以防万一。

安全建议2915720 – Windows Authenticode签名验证的更改 此建议通知客户Windows验证Authenticode签名二进制文件的方式即将发生变化。它还建议使用Windows Authenticode签名二进制文件的开发人员确保其签名在2014年6月10日前符合更改。SRD博客涵盖了有关更改的其他技术细节。

这是一个关于有趣主题的有趣建议。它伴随一个安全公告MS13-098,该公告确实解决了Windows中的一个问题。除了通过新代码解决安全问题外,更新还引入了新功能。此建议详细说明了新功能,并为管理员和开发人员提供了指南。建议提供了一些建议的测试场景,以确保您的企业和可执行文件为更改做好准备。同样,由于此更改加强了安全性而不是解决问题,因此我们通过建议与您沟通更合适。

最后,我们还在修订安全建议2755801,包含Internet Explorer中Adobe Flash Player的最新更新。该更新解决了Adobe安全公告APSB13-28中描述的漏洞。有关此更新的更多信息,包括下载链接,请参阅Microsoft知识库文章2907997。

如果您有足够的勇气阅读到这里,请观看下面的公告概述视频,简要总结今天的发布。 https://www.youtube.com/watch?v=6B-zTXF6qQ4

有关本月安全更新的更多信息,请访问Microsoft公告摘要网页。

Jonathan Ness和我将主持每月公告网络直播,计划于2013年12月11日星期三太平洋标准时间上午11点举行。我邀请您在此注册,并收听以了解更多关于本月安全公告和建议的信息。

有关所有最新信息,您还可以在Twitter上关注MSRC团队@MSFTSecResponse。

我希望这次关于公告和建议的深入讨论值得您花时间。如果是这样,请告诉我您希望在这里看到其他哪些主题。我从不厌倦谈论第二个星期二。

谢谢, Dustin Childs 响应通信组经理 Microsoft可信计算

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次