小工具、证书清理与2012年7月安全公告

在深入讨论7月安全更新之前，让我们改变常规顺序，先看看今天发布的两个安全公告。一个迈出了激动人心的未来一步，另一个则帮助我们同样重要地告别过去。

安全公告2719662

今天我们发布安全公告2719662，允许系统管理员通过一次Fix it点击，在支持的Windows Vista和Windows 7版本上禁用Windows侧边栏和小工具。正如许多人所知，Windows 8将弃用侧边栏和小工具，小工具开发者已经将精力转向在线Windows商店。同时，我们发现一些Vista和Win7小工具不符合安全编码实践，应视为对运行它们的系统构成风险。随着侧边栏和小工具的时间所剩无几，开发者已经转向，我们选择立即弃用Windows小工具库，并提供Fix it帮助系统管理员在整个企业中禁用小工具和侧边栏。

安全公告2728973

正如我们上个月提到的，我们正在准备一项深度防御变更，改变Windows处理RSA密钥长度小于1024位的证书的方式。（专家一段时间以来建议使用RSA密钥的用户选择至少2048位的密钥长度。）一旦我们在8月发布此更新，我们将把所有小于1024位的证书视为无效，即使它们当前有效并由受信任的证书颁发机构签名。我们现在提醒您，以便大家有时间进行必要的调整。您可以在上个月的公钥基础设施（PKI）博客文章中找到有关此变更的更多信息。

同时，在本月正常的证书相关清理过程中，我们发现了一些不符合我们安全实践标准的数字证书。尽管没有迹象表明这些证书以任何方式被泄露或滥用，但作为预防措施，我们已经撤销了它们。其中一部分还被发现具有代码签名权限，这使它们进入了不受信任证书存储。更多信息请参见安全公告2728973。详情请参阅今天发布的SRD博客文章。最后，同样在清理方面，我们再次鼓励客户查看KB 2677070，它提供了一个自动化过程，快速自动更新Windows Vista和Windows 7客户端上的不允许证书信任列表。我们上个月发布了该KB，本周重新提供作为关键级非安全更新。

安全更新

对于更新星期二，我们还发布了九个安全公告——三个关键级和六个重要级——解决了Microsoft Windows、Internet Explorer、Visual Basic for Applications和Microsoft Office中的16个问题。客户应计划尽快安装所有这些更新。对于必须优先部署的用户，我们建议首先关注三个关键更新：

• MS12-043（Microsoft XML核心服务）：此安全更新解决了一个影响所有支持版本Windows的问题。该公告具有关键严重性评级，问题可能导致远程代码执行。该公告解决了上个月安全公告2719615中描述的Windows问题。我们建议客户阅读公告信息并尽快应用。使用Microsoft Office的客户也应熟悉此公告。SRD博客有更多细节。

• MS12-045（Microsoft数据访问组件[MDAC]）：此安全更新解决了一个可能导致远程代码执行的关键级Windows问题。该问题存在于所有版本的Windows中，任何版本的Internet Explorer用户都可能易受攻击；然而，我们通过私人披露收到了此问题的消息，没有证据表明它公开已知或正在被利用。尽管如此，我们建议客户阅读公告信息并尽快应用。

• MS12-044（Internet Explorer）：此安全更新解决了影响Internet Explorer的两个关键级远程代码执行问题。与MDAC问题一样，这两个漏洞是私下向我们披露的，我们没有迹象表明它们正在被利用。与其他更新一样，建议客户阅读公告信息并尽快应用。顺便说一下，我们已经增加了Internet Explorer资源，以便我们能够在任何月份发布更新，而不是之前的双月节奏。我们期待您对此变更的反馈。

其他六个公告都是重要级问题，涉及Windows、Visual Basic for Applications和Office，包括SharePoint和Mac版Office。请观看以下视频以获取本月公告的概述。

一如既往，我们建议客户尽快部署所有安全更新。以下是我们的部署优先级指南，以进一步协助客户进行部署规划（点击查看大图）。

此外，SRD博客今天深入探讨了本月部署优先级背后的一些思考。

我们的风险和影响图提供了本月严重性和可利用性指数的聚合视图（点击查看大图）。

您可以在Microsoft安全公告摘要网页上找到有关本月安全更新的更多信息。感谢阅读，希望两周后在Black Hat见到你们中的许多人。

Yunsun Wee
Microsoft可信计算