2014年4月安全更新
T.S.艾略特曾言:“所谓开始往往是结束,而结束即是开始。终点正是我们出发之处。”随着一个季节的落幕,让我们通过审视四月安全更新开启新篇章。今日,我们发布四个公告,修复Microsoft Windows、Internet Explorer和Microsoft Office中的11个CVE。Microsoft Word的更新解决了Microsoft安全公告2953095中描述的问题。对于优先处理事项,我们建议将此公告及Internet Explorer更新置于清单首位。
若未提及另一个终点——Windows XP和Office 2003支持终止——将是我们的疏忽。MS14-018和MS14-019提供的更新将是Windows XP的最终安全更新;MS14-017和MS14-020则是Office 2003的最终更新。对于尚未迁移的用户,我建议访问Microsoft安全博客,我的同事Tim Rains为可能对支持终止影响有疑问的消费者和小型企业提供指导。企业管理员也会发现值得一读。
以下是本月所有更新的概述:
本月的首要任务是MS14-018和MS14-017,分别解决Internet Explorer和Microsoft Word中的问题。
MS14-018 | Internet Explorer累积更新
此安全更新解决了Internet Explorer中六个私下报告的漏洞。如果用户使用Internet Explorer查看特制网页,这些漏洞可能允许远程代码执行。尽管此公告解决的问题非常直接,我特别提请关注Windows 8.1和Windows Server 2012 R2上Internet Explorer 11的更新。对于这些平台,更新非累积性——仅解决本公告描述的问题。您还可选择安装KB2919355,这是Windows 8.1、Windows RT 8.1和Windows Server 2012 R2的累积更新。除了这些操作系统的先前更新,它包括增强功能,如改进企业应用的Internet Explorer 11兼容性、可用性改进、扩展移动设备管理和改进硬件支持。此外,对于Windows Server 2012 R2,它包括对主机商集群配置的支持。有关此更新的更多信息,参见Microsoft知识库文章2919355。
类似地,在Windows 7和Windows Server 2008 R2上运行Internet Explorer 11的客户也可选择累积更新:KB2929437。除了这些操作系统上Internet Explorer 11的先前更新,它包括增强功能,如改进企业应用的Internet Explorer 11兼容性。如果安装此累积更新,您将无需安装通过MS14-018提供的KB2936068更新。可能还有人忽略Internet Explorer 10的更新。对于此浏览器版本,更新是非安全性的。本公告解决的问题不影响Internet Explorer 10,但更新包括非安全相关更改。有关此更新中包含的非安全相关修复的更多信息,参见Microsoft知识库文章2936068。
MS14-017 | Microsoft Word和Office Web Apps中的漏洞可能允许远程代码执行
此安全更新解决Microsoft Word中一个公开披露的漏洞和两个私下报告的漏洞。最严重的漏洞可能在受影响版本的Microsoft Office软件中打开特制文件时允许远程代码执行。此安全更新还解决了首次在Microsoft安全公告2953095中描述的漏洞。如果已安装通过此公告提供的Fix it,应在应用更新后移除它以确保RTF文件正确打开。
最后,我们正通过Internet Explorer中Adobe Flash Player的最新更新修订安全公告2755801。更新解决Adobe安全公告APSB14-09中描述的漏洞。有关此更新的更多信息,包括下载链接,参见Microsoft知识库文章2942844。
观看下面的公告概述视频,简要总结今日发布内容。
有关本月安全更新的更多信息,包括按CVE分解的漏洞利用指数详细视图,请访问Microsoft公告摘要网页。
William Peteroy和我将主持每月公告网络广播,计划于2014年4月9日星期三太平洋时间上午11点举行。我邀请您在此注册,并收听以了解更多关于本月安全公告和咨询的信息。
获取所有最新信息,您还可通过@MSFTSecResponse关注我们。
请与我一同祝愿Windows XP和Office 2003在走向生命终点时一路顺风。我期待在明天的网络广播中听到您关于本月发布的问题。
谢谢, Dustin Childs 响应通信组经理 Microsoft可信计算