可爱的令牌与2013年9月安全更新

Helen Hunt Jackson曾著名地写道：“凭借所有可爱的令牌，九月已经到来，带着夏日最好的天气和秋天最棒的欢呼。”我分享Helen对这一年中这个时候的清晰喜爱。作为一个体育迷，有太多“可爱的令牌”可以享受。棒球锦旗赛正在升温，大学和职业橄榄球正在进行中，各种足球联赛（世界其他地区的真正足球）也在继续。作为父母，有我的孩子们返校的“可爱令牌”，这提醒着夏天的过去，并对另一年的学习、成长和适应新常规感到兴奋。对我来说，常规已经设定：每月的第二个星期二到了，随之而来的是一轮“可爱的令牌”来帮助保护我们的客户。

本月我们发布了13个公告——四个关键和九个重要——解决了Microsoft Windows、Office、Internet Explorer和SharePoint中的47个独特CVE。对于那些需要优先部署计划的人，我们建议首先关注MS13-067、MS13-068和MS13-069。

我们的公告部署优先级图提供了本月优先级发布的概述（点击查看大图）。

MS13-068 | Microsoft Outlook中的漏洞可能允许远程代码执行

在准备本月的发布时，这是第一个引起我注意的公告，可能也引起了您的注意。这个私下报告的问题可能允许远程代码执行，如果在受影响的系统上查看或预览带有特制S/MIME证书的电子邮件。正如SRD博客中详细说明的，创建S/MIME证书是微不足道的，但以精确的方式创建特定的证书以执行代码将是困难的。尽管如此，可能性是存在的，这就是为什么我们将此更新列为本月的最高优先级。我们尚未检测到任何主动攻击，如果您启用了自动更新，您无需采取任何操作即可免受此问题的影响。

MS13-069 | Internet Explorer的累积安全更新

此安全更新解决了所有受支持版本的Internet Explorer中的10个问题。所有10个问题都是私下披露的，我们尚未检测到任何涉及公告所解决问题的主动攻击。所有CVE都是由浏览器不当访问内存中的对象引起的。如果您使用受影响的系统访问特制网站，攻击者可以在当前用户的上下文中执行任意代码。此安全更新对所有版本的Internet Explorer评级为关键。

MS13-067 | Microsoft SharePoint Server中的漏洞可能允许远程代码执行

此SharePoint Server更新也解决了10个问题，但在这里，只有CVE-2013-1330是关键。虽然CVE-2013-3180，一个重要评级的问题，是公开披露的，我们尚未检测到任何涉及这些问题的主动攻击。对于这里的一个关键CVE，攻击者可以向受影响的服务器发送特制内容。在未能正确验证输入后，攻击者可以在W3WP服务帐户的上下文中在系统上执行代码。SharePoint Server 2013不受此关键问题的影响。

我们的风险和影响图显示了本月严重性和可利用性指数的聚合视图（点击查看大图）。

最后，我们正在修订安全公告2755801，以提供Internet Explorer中Adobe Flash Player的最新更新。有关此更新的完整详细信息可以在公告中找到。

有关本月安全更新的更多信息，包括按CVE分解的可利用性指数的详细视图，请访问Microsoft公告摘要网页。

Jonathan Ness和我将主持每月公告网络广播，计划于2013年9月11日星期三太平洋夏令时间上午11点举行。我邀请您在此注册并收听以了解更多关于本月安全公告和公告的信息。

对于所有最新信息，您也可以在Twitter上关注MSRC团队@MSFTSecResponse。

我希望您找到一些可爱的令牌来享受这个月。南瓜香料可能是这个时候的一个很好的添加剂；只是记住不是所有东西都需要它。我期待在明天的网络广播中听到您的问题。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算