大量Windows和Office漏洞將被微軟修復(fù)

      Microsoft Windows是微軟發(fā)布的非常流行的操作系統(tǒng)。 Microsoft Windows提供的MFC組件中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。當(dāng)用戶與RTF文件中的畸形嵌入OLE對(duì)象進(jìn)行交互時(shí)，就可能導(dǎo)致內(nèi)存破壞，在用戶系統(tǒng)上執(zhí)行任意代碼。為此,微軟不斷在每個(gè)月的周二發(fā)布新的安全補(bǔ)丁更新.據(jù)悉,本周二,微軟發(fā)布了其11月份的安全補(bǔ)丁更新，修復(fù)了Windows、Windows Server、Office等軟件中的15個(gè)漏洞。

　　據(jù)了解，11月份，微軟共發(fā)布了6個(gè)月度安全公告，其中有3個(gè)是屬于最高的嚴(yán)重級(jí)別，另外三個(gè)則是重要級(jí)別，修復(fù)了Windows和Office套件中的大量漏洞。

　　在這15個(gè)安全公告中，MS09 - 065公告是最為關(guān)鍵的，共修復(fù)了Windows內(nèi)核中的3個(gè)漏洞， 其中一個(gè)漏洞可以影響Windows內(nèi)核的解析嵌入式OpenType字體，這個(gè)漏洞是最為關(guān)鍵的，因?yàn)檫@個(gè)漏洞在微軟發(fā)布公告之前就已經(jīng)被公開(kāi)。

　　Shavlik Technologies的數(shù)據(jù)和安全小組負(fù)責(zé)人Jason Miller表示，攻擊者可以利用這個(gè)漏洞遠(yuǎn)程執(zhí)行惡意代碼，利用嵌入字體建立一個(gè)惡意網(wǎng)頁(yè)，使得攻擊者能夠控制用戶的電腦。

　　此外，MS09-063安全公告則是修復(fù)了Windows Vista和Windows Server 2008中的一個(gè)漏洞，該漏洞可以影響Devices API (WSDAPI)中的Web服務(wù)。

　　最后，用于修復(fù)Windows內(nèi)核漏洞的還有一個(gè)MS09-064安全公告，它解決了Windows 2000中一個(gè)秘密報(bào)告漏洞，這個(gè)漏洞可能允許攻擊者遠(yuǎn)程執(zhí)行任意代碼，成功利用此漏洞的攻擊者可以完全控制受害者的系統(tǒng)。

　　以下是微軟所發(fā)布的11月份安全公告的詳情：

　　#1、公告編號(hào)：MS09-063(KB973565)

　　詳情：MS09-063安全公告解決了Windows操作系統(tǒng)的Web Services on Devices應(yīng)用程序編程接口(WSDAPI)中一個(gè)秘密報(bào)告的漏洞。如果受影響的Windows系統(tǒng)接收特制的數(shù)據(jù)包，這個(gè)漏洞可能導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行任意代碼。不過(guò)，只有本地子網(wǎng)上的攻擊者才能利用此漏洞。

　　安全等級(jí)：嚴(yán)重

　　受影響軟件：32位和64位Windows Vista SP2/Server 2008 SP2

　　#2、公告編號(hào)：MS09-064(KB974783)

　　詳情：MS09-064安全公告解決了Windows 2000中一個(gè)秘密報(bào)告的漏洞。如果攻擊者向運(yùn)行授權(quán)登陸服務(wù)器(License Logging Server)的計(jì)算機(jī)發(fā)送特制的網(wǎng)絡(luò)消息，該漏洞可能允許攻擊者遠(yuǎn)程執(zhí)行任意代碼，成功利用此漏洞的攻擊者可以完全控制受害者的系統(tǒng)。

　　安全等級(jí)：嚴(yán)重

　　受影響軟件：Windows 2000 SP4

　　#3、公告編號(hào)：MS09-065(KB969947)

　　詳情：MS09-065安全公告是此次最為關(guān)鍵的公告，它解決了Windows內(nèi)核中許多秘密報(bào)告的漏洞。如果用戶查看了以特制Embedded OpenType (EOT)字體呈現(xiàn)的內(nèi)容，這些漏洞最嚴(yán)重時(shí)可以允許攻擊者遠(yuǎn)程執(zhí)行任意代碼。在基于Web的攻擊情形中，攻擊者必須擁有一個(gè)網(wǎng)站，其中包含用來(lái)試圖利用此漏洞的特制嵌入字體。

　　安全等級(jí)：嚴(yán)重

　　受影響軟件：從Windows 2000 SP4到Windows Vista SP2/Server 2008 SP2

　　#4、公告編號(hào)：MS09-066(KB973309)

　　詳情：MS09-066安全公告解決了活動(dòng)目錄(AD)服務(wù)、活動(dòng)目錄應(yīng)用程序模式(ADAM)和活動(dòng)目錄輕型目錄服務(wù)(AD LDS)中一個(gè)秘密報(bào)告的漏洞。如果執(zhí)行某些類型的LDAP或LDAPS請(qǐng)求期間耗盡堆棧空間，該漏洞可以允許拒絕服務(wù)。此漏洞僅影響配置為運(yùn)行ADAM或AD LDS的域控制器和系統(tǒng)。

　　安全等級(jí)：重要

　　受影響軟件：Windows 2000 Server SP4/XP SP3/Server 2003 SP2/Server 2008 SP2

　　#5、公告編號(hào)：MS09-067(KB972652)

　　詳情：MS09-067安全公告解決了Office Excel中許多秘密報(bào)告的漏洞。如果用戶打開(kāi)特制的Excel文件，這些漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用這些漏洞的攻擊者可以獲得與本地用戶相同的用戶權(quán)限。

　　安全等級(jí)：重要

　　受影響軟件：Office XP SP3/2003 SP3/2007 SP2、Office 2004/2008 for Mac、Office Excel Viewer

　　#6、公告編號(hào)：MS09-068(KB976307)

　　詳情：MS09-068安全公告解決了Office Word中一個(gè)秘密報(bào)告的漏洞。如果用戶打開(kāi)特制Word文件，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

　　安全等級(jí)：重要

　　受影響軟件：Office XP SP3/2003 SP3、Office 2004/2008 for Mac、Office Word Viewer。

　　這些不同級(jí)別的安全補(bǔ)丁更新不知道是否修復(fù)Windows內(nèi)核漏洞的還有一個(gè)MS09-064安全公告，還是只解決了Windows 2000中一個(gè)秘密報(bào)告漏洞呢?