离开拉斯维加斯与2013年8月安全更新

两周前，我与7500位同行参加了在内华达州拉斯维加斯举行的黑帽安全会议。虽然无法代表所有人，但我个人度过了精彩而疲惫的时光。每年，我最期待的是与参会者交流的机会。这次更令人兴奋，因为微软推出了许多新项目。

首先，许多人对我们新的赏金计划感兴趣。Internet Explorer 11预览版赏金计划已结束，但绕过缓解措施赏金和蓝帽奖金仍在继续。7月29日，我们发布了年度MSRC进展报告，包括对现有MAPP计划的增强细节。我们还构建并启动了一系列名为“蓝帽挑战”的趣味挑战，涉及逆向工程、漏洞发现和Web浏览器操纵攻击。

仅前两周，已有超过720人参与，120人完成至少一个级别，10人完成至少一个轨道的所有级别。蓝帽挑战仍在开放，鼓励大家测试安全技能。完成一个轨道甚至可获得定制Xbox头像物品！

*8月14日更新：参与者增至962人，181人达到2级或更高。20人完成至少一个轨道，一位冒险者完成两个轨道。继续加油！

谈到安全，让我们转向月度公告。今天发布了八个安全更新——三个关键和五个重要更新，修复了Microsoft Windows、Internet Explorer和Exchange中的23个漏洞。部署优先级建议首先关注MS13-059和MS13-060。客户应尽快部署所有更新。以下是公告部署优先级指南，以协助规划。

MS13-059 | Internet Explorer累积安全更新

此更新解决了IE中11个私下披露的问题，未检测到攻击或客户影响。所有问题在客户查看特制网页时可能允许远程代码执行。成功利用这些漏洞的攻击者可获得与当前用户相同的权限。此更新对所有IE版本评为关键。

MS13-060 | Unicode脚本处理器中的漏洞可能允许远程代码执行

此更新解决了Windows中的一个问题，客户查看特制文档或网页时可能允许远程代码执行。成功利用这些漏洞的攻击者可获得与登录用户相同的权限。此更新对Windows XP和Windows Server 2003评为关键。该问题私下披露，未检测到攻击或客户影响。

安全公告2861855 – 改进远程桌面协议网络级认证的更新

此更新为Microsoft Windows中远程桌面协议的网络级认证（NLA）技术添加了深度防御措施。**

安全公告2862973 – 弃用MD5哈希算法以更新Microsoft根证书程序

此更新影响使用MD5哈希算法证书的应用程序和服务。此限制仅适用于Microsoft根证书程序下颁发的证书，仅用于服务器认证、代码签名和时间戳。这些应用程序和服务将不再信任使用MD5的证书，该变更将于2014年2月通过Microsoft Update发布。

最后，本月有两个公告重新发布，影响MS13-052和MS13-057。重新发布解决了初始发布后发现的某些应用程序兼容性问题。建议所有客户应用适用于其系统的新更新。启用自动更新的用户无需操作。

观看以下公告概述视频，简要总结今日发布。

我们的公告部署优先级图提供了本月优先级发布的概述（点击查看大图）。

[图片链接]

我们的风险和影响图显示了本月严重性和可利用性指数的汇总视图（点击查看大图）。

[图片链接]

有关本月安全更新的更多信息，请访问Microsoft公告摘要网页。

Jonathan Ness和我将主持月度公告网络广播，计划于2013年8月14日星期三太平洋时间上午11点举行。邀请您在此注册，收听以了解更多关于本月安全公告和咨询的信息。

最新信息，请通过Twitter关注MSRC团队@MSFTSecResponse。

如果在黑帽会议上有机会交流，很高兴与您交谈。如果没有，期待在未来会议上见面，并在明天的网络广播中听到您关于本月发布的提问。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算