微軟剛剛發(fā)布了今年首批安全補丁����,1月份共更新7個補丁,修復了Windows操作系統(tǒng)和其他軟件中的8個安全漏洞�。微軟本次修復多個可能造成信息泄露的漏洞,此類補丁在去年很少更新���,可見微軟也加強了網絡信息安全的防范�����。據悉��,微軟本次修復了包括Windows 7和Windows Server 2008 R2在內的所有版本的Windows中的安全漏洞�。在這7個補丁中只有1個是“嚴重”等級的�,其余的都是“重要”等級的補丁。這個“嚴重”等級的補丁修復媒體播放器軟件中的一個遠程執(zhí)行代碼漏洞。
值得注意的是����,微軟本次修復了包括SSL/TLS和AntiXSS庫中可能允許信息泄露的多個安全漏洞。惡意攻擊者可利用上述漏洞截獲網絡傳輸中的加密的信息���,甚至一些受到影響的網站中的信息�。也就是說���,微軟本次修復的漏洞可能影響普通上網網民和一些網站�����。
在剛剛過去的2011年�,信息泄露事件頻頻爆發(fā)��,從美國政府機構被黑客攻擊�,到國內多家網站用戶數據庫被曝光,信息泄露的陰影覆蓋了全
附:微軟1月補丁信息
1����、Windows內核中的漏洞可能允許繞過安全功能
安全公告:MS12-001;
知識庫編號:KB2644615;
級別:重要;
描述:此安全更新可解決Windows中一個秘密報告的漏洞。該漏洞可能允許攻擊者在應用程序中繞過SAFESEH安全功能�����,然后�,攻擊者可以利用其他漏洞通過結構化異常處理運行任意代碼。只有使用Microsoft Visual C + + .NET 2003編譯的應用程序可以被用來利用此漏洞進行攻擊��。
影響系統(tǒng):基于x64版本的Windows XP/Server 2003/Vista/Server 2008/Windows 7/Server 2008 R2
2����、Windows Object Packager中的漏洞可能允許遠程執(zhí)行代碼
安全公告:MS12-002;
知識庫編號:KB2603381;
級別:重要;
描述:此安全更新可解決Windows中一個秘密報告的漏洞。如果用戶打開特制的可執(zhí)行文件��,該漏洞可能允許遠程執(zhí)行代碼��。該文件必須帶有一個位于同一網絡目錄的嵌入式包裝對象�����,它可以是合法的文件���。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限��。攻擊者可隨后安裝程序����,查看、更改或刪除數據��,或者創(chuàng)建擁有完全用戶權限??的新帳戶����。
影響系統(tǒng):Windows XP/Windows Server 2003
3、Windows C/S運行子系統(tǒng)中的漏洞可能允許特權提升
安全公告:MS12-003;
知識庫編號:KB2646524;
級別:重要;
描述:此安全更新解決在Windows中的一個秘密報告的漏洞�。如果攻擊者登錄到受影響的系統(tǒng)并運行特制的應用程序,該漏洞可能允許特權提升�����。然后�,攻擊者可以完全控制受影響的系統(tǒng)和安裝程序,查看����、更改或刪除數據,或者創(chuàng)建擁有完全用戶權限??的新帳戶�����。只有系統(tǒng)區(qū)域設置配置中文��、日文或韓文的系統(tǒng)才會存在此漏洞�����。
影響系統(tǒng):Windows XP/Server 2003/Vista/Server 2008
4、Windows Media中的漏洞可能允許遠程執(zhí)行代碼
安全公告:MS12-004;
知識庫編號:KB2636391;
級別:嚴重;
描述:此安全更新可解決Windows中兩個秘密報告的漏洞�����。如果用戶打開一個特制的媒體文件��,這些漏洞可能允許遠程執(zhí)行代碼�����。成功利用此漏洞的攻擊者可以獲得與本地用戶相同的用戶權限���。
影響系統(tǒng):Windows XP/Server 2003/Vista/Server 2008,以及Windows Media Center TV Pack for Windows Vista/Windows 7/Server 2008 R2
5���、Windows中的漏洞可能允許遠程執(zhí)行代碼
安全公告:MS12-005;
知識庫編號:KB2584146;
級別:重要;
描述:此安全更新可解決Windows中一個秘密報告的漏洞�����。如果用戶打開特制的包含惡意嵌入式ClickOnce應用程序的Microsoft Office文件�����,該漏洞可能允許遠程執(zhí)行代碼�。成功利用此漏洞的攻擊者可以獲得與本地用戶相同的用戶權限。
影響系統(tǒng):所有Windows版本
6�����、SSL/TLS中的漏洞可能允許信息泄露
安全公告:MS12-006;
知識庫編號:KB2643584;
級別:重要;
描述:此安全更新可解決一個SSL 3.0和TLS 1.0中公開披露的漏洞��。如果攻擊者截獲從受影響的系統(tǒng)中傳輸的加密的網絡信息�,該漏洞可能允許信息泄露。
影響系統(tǒng):所有Windows版本
7�����、AntiXSS庫中的漏洞可能允許信息泄露
安全公告:MS12-007;
知識庫編號:KB2607664;
級別:重要;
描述:此安全更新可解決一個微軟AntiXSS庫中秘密報告的漏洞��。如果攻擊者將惡意腳本放到使用AntiXSS庫中消毒功能的網站上�,該漏洞可能允許信息泄露。
影響系統(tǒng):AntiXSS Library V3.x / AntiXSS Library V4.0
