2014年7月安全公告发布
全球许多人都在密切关注2014年巴西FIFA世界杯™。无论你支持哪个国家,许多人都对守门员蒂姆·霍华德在对阵比利时比赛中的防守表现印象深刻。这是一次出色的表现,突显了强大的防守——无论是在球场上还是在你的系统中,这总是一件好事。
本月的发布包括六个新的安全公告,解决了Microsoft Windows和Internet Explorer中的29个常见漏洞和暴露(CVE)。其中两个安全公告评级为严重,三个评级为重要,一个评级为中等严重性。一如既往,我们鼓励您应用所有更新,但对于那些需要优先处理的人,我们建议将Windows Journal和Internet Explorer(IE)更新放在首位。
如果您正在寻找额外的资源来帮助您确定优先级,请查看我们最近发布的myBulletins安全公告定制免费在线服务。myBulletins使您能够使用高级搜索和筛选选项快速找到安全公告。该服务还提供了一个可自定义仪表板中的动态列表,可以随时编辑,并可以下载到Microsoft Excel报告中。试一试,并通过网站反馈链接告诉我们您的想法。
以下是今天发布的所有更新的概述:
*每个部署优先级中的公告按公告编号数字顺序列出
Windows Journal的安全公告解决了一个私下报告的CVE,如果打开恶意的Windows Journal文件,攻击者可以在您的系统上执行代码。值得注意的是,Windows Server版本默认不安装Windows Journal。这是设计使然。安装的应用程序越少,风险就越低,因此服务器系统附带许多可选组件被禁用。如果您最近没有审查服务器上安装的应用程序,现在是一个好时机。减少攻击面将对服务器的整体安全性产生积极影响。
我们Internet Explorer团队的持续勤奋工作在本月继续,Internet Explorer的安全公告总共解决了24个CVE。其中最严重的问题可能允许远程代码执行,如果用户查看由网络犯罪分子特别制作的网页。与上个月类似,我们尚未看到任何试图利用此安全公告解决的CVE——或我们本月解决的其他任何问题的主动攻击。在攻击对客户产生影响之前解决这些问题仍然是我们安全公告的目标。
为了确保在浏览互联网时拥有最新的保护,您应该升级到最新版本的Internet Explorer。对于Windows 7和Windows 8.1,这意味着Internet Explorer 11——我们构建的最现代、最安全的浏览器。Internet Explorer 11具有高级安全功能,如增强保护模式(EPM)和SmartScreen筛选器,支持现代Web标准,以及用于呈现传统Web应用程序的企业模式。Internet Explorer 11比我们的旧版本安全得多,这就是为什么我们鼓励客户升级。
我们今天还有三个公告要解决。第一个是对“更新以改进凭据保护和管理”的修订。这个新包改变了Windows 8.1和Windows Server 2012 R2上受限管理员模式的默认行为。此公告涉及对抗凭据盗窃的不同策略,这是当今的热门话题。Patrick Jungles(主要作者)和团队有一篇新的白皮书讨论了防御传递哈希式攻击的方法,并且有一个新的Web资源涵盖了各种技术和策略,以帮助防止不同类型的凭据盗窃攻击。在需要之前实施这些策略是另一种积极影响企业整体安全状况的方式。
“禁用.NET TLS中的RC4的更新”也已修订。此修订宣布了Microsoft更新目录检测更改,用于需要安装2868725先决更新的更新。如果您已经成功安装了此更新,则无需采取任何进一步操作。
最后,我们正在修订安全公告2755801,提供Internet Explorer中Adobe Flash Player的最新更新。该更新解决了Adobe安全公告APSB14-17中描述的漏洞。有关此更新的更多信息,包括下载链接,请参阅Microsoft知识库文章2974008。
有关本月安全更新的更多信息,包括按CVE分解的漏洞利用索引的详细视图,请访问Microsoft公告摘要网页。观看下面的公告概述视频,了解今天发布的简要摘要。
Jonathan Ness和我将主持每月安全公告网络广播,计划于2014年7月9日星期三太平洋时间上午11点举行。不再需要在此活动之前注册参加。您可以在此处找到如何观看网络广播和获取日历提醒的详细信息。我邀请您收听以了解更多关于本月安全公告的信息。
我期待在明天的网络广播中听到有关本月发布的任何问题。
有关所有最新信息,您也可以在@MSFTSecResponse关注我们。
谢谢, Dustin Childs 响应通信组经理 Microsoft可信计算