微軟 5 月發(fā)布 10 個安全補丁

2013年5月15日

微軟于 5 月 15 日清晨發(fā)布 10 個安全補丁，其中 2 個為最高級別嚴(yán)重等級， 8 個為重要等級，共修復(fù) Internet Explorer 、 Microsoft Windows 、 Microsoft Office 、 Server and Tools 和 .NET Framework 中的 33 個安全漏洞。請?zhí)貏e優(yōu)先部署嚴(yán)重等級補丁 MS13-037 、 MS13-038 和 MS13-039 。 MS13-037 解決 Internet Explorer 中的 11 個秘密報告的漏洞。最嚴(yán)重的漏洞可能在用戶使用 Internet Explorer 查看特制網(wǎng)頁時允許遠(yuǎn)程執(zhí)行代碼。 MS13-038 永久性地解決了在 Microsoft 安全通報 2847140 中描述的 Internet Explorer 8 中的漏洞。 MS13-039 解決了 Windows 中的一個安全漏洞。如果攻擊者向受影響的 Windows 服務(wù)器或客戶端發(fā)送特制 HTTP 數(shù)據(jù)包，該漏洞可能允許拒絕服務(wù)。此外，微軟還發(fā)布了 安全通報 2820197 和 安全通報 2846338 。

軟件開發(fā)，注意“安全”

2013 年5 月 14 日

微軟軟件安全開發(fā)生命周期 (SDL) 已經(jīng)提出了近十年的時間了，在這過去的十年中，互聯(lián)網(wǎng)經(jīng)歷了翻天覆地的變化。但是我們也可以看到，互聯(lián)網(wǎng)犯罪也在迅猛增長，網(wǎng)絡(luò)安全事故也是層出不窮。微軟調(diào)查發(fā)現(xiàn)只有 37% 的企業(yè)在軟件開發(fā)中將軟件的安全性納入需求之中，這樣的現(xiàn)狀不得不讓人擔(dān)憂。其中阻礙企業(yè)使用安全開發(fā)流程的原因一個是缺乏管理上的認(rèn)可。不過 ISO 發(fā)布了 ISO/IEC 27034-1 標(biāo)準(zhǔn)，為軟件安全開發(fā)制定了標(biāo)準(zhǔn)，因此安全開發(fā)或許將會成為一種強制措施。其次，開發(fā)人員缺乏相應(yīng)的培訓(xùn)也是阻礙因素之一。微軟在 SDL 網(wǎng)站 上提供了大量的免費的安全開發(fā)工具和指導(dǎo)文檔，可以供開發(fā)人員學(xué)習(xí)。另外一個原因是企業(yè)在資金開銷方面的顧慮，但是 Aberdeen Group 的研究 表明安全的代碼能夠為企業(yè)創(chuàng)造更多的收益。因此在軟件開發(fā)過程中，無論是使用者還是開發(fā)者都應(yīng)時刻注意“安全”。

微軟發(fā)布安全通報 2847140

2013 年 5 月3日

微軟在 5 月 3 日發(fā)布了 安全通報 2847140 以解決在 Internet Explorer 8 中的一個安全漏洞。當(dāng)攻擊者誘使用戶使用 IE 8 瀏覽一些惡意站點時，該漏洞可能觸發(fā)遠(yuǎn)程代碼執(zhí)行。攻擊者通常通過郵件或即時消息傳播這些惡意鏈接。 Internet Explorer 6 、 7 、 9 和 10 并不受該漏洞的影響，因此通過 升級 IE 到版本 9 或者 10 均可避免該漏洞的影響。微軟正在積極地制定解決方案，于此期間，微軟希望受影響的用戶采取以下措施緩解該漏洞的影響： 1. 將 IE 瀏覽器中 Internet 和本地局域網(wǎng)的安全級別調(diào)整至“高”，以阻止 Active X 控件和動態(tài)腳本。 2. 配置 IE 瀏覽器，使其在 Internet 和本地局域網(wǎng)中，在運行動態(tài)腳本前提示用戶，或直接禁止動態(tài)腳本。以上兩個防護(hù)措施可能都會影響到用戶正常訪問一些常用網(wǎng)站，因此建議用戶將常用的可信的站點添加到 IE 的受信任站點中。