应用商店新安全政策

我们今日宣布针对通过Windows应用商店、Windows Phone商店、Office商店和Azure Marketplace提供的应用漏洞处理新政策。与每月第二个星期二的更新机制类似，此举旨在保护客户并确保我们商店中的应用尽可能安全。

从即日起，开发者在被告知关键或重要严重性安全问题时，必须在180天内提交更新应用。此政策假设应用当前未在野外被利用。若存在利用情况，我们将与开发者合作尽快提供更新，并可能提前从商店中移除应用。

我们也认识到可能存在极少数情况，开发者需要超过180天的时间。若发生此类情况（目前尚未出现），我们将与开发者合作尽快提供更新应用替代。

2013年7月安全更新

今日发布的七个安全公告（六个关键级别，一个重要级别）解决了Microsoft Windows、Internet Explorer、.NET Framework、Silverlight、GDI+和Windows Defender中的34个漏洞。对于需要优先部署的客户，我们建议首先关注MS13-053和MS13-055。一如既往，客户应尽快部署所有安全更新。

MS13-053 | Windows内核模式驱动程序中的漏洞可能允许远程代码执行

此安全更新解决了Microsoft Windows中两个公开披露和六个私下报告的漏洞。最严重的漏洞可能允许远程代码执行，如果用户打开特制文档或访问嵌入TrueType字体文件的恶意网页。成功利用此漏洞的攻击者可以完全控制受影响的系统。我们已知CVE-2013-3660在有限的定向攻击中被用于提升权限。

MS13-055 | Internet Explorer的累积安全更新

此安全更新解决了Internet Explorer中的17个问题，如果客户使用浏览器查看特制网页，可能允许远程代码执行。成功利用这些漏洞的攻击者可以获得与登录用户相同的权限。此安全更新对所有版本的Internet Explorer和所有受支持的Microsoft Windows版本均评为关键级别。这些问题私下披露，我们未检测到任何攻击或客户影响。

部署优先级与资源

我们的公告部署优先级图提供了本月优先级发布的概述（点击查看大图）。

我们的风险和影响图显示了本月严重性和可利用性指数的聚合视图（点击查看大图）。

有关本月安全更新的更多信息，请访问Microsoft公告摘要网页。

Jonathan Ness和我将主持每月公告网络广播，计划于2013年7月10日星期三太平洋时间上午11点举行。我邀请您在此注册，并收听以了解更多关于本月安全公告和建议的信息。

如需所有最新信息，您还可以在Twitter上关注MSRC团队@MSFTSecResponse。

我期待在明天的网络广播中听到您关于本月发布的问题。

谢谢， Dustin Childs 响应通信组经理 Microsoft可信计算