微軟為IE的零日漏洞及IE10中的Flash缺陷提供補(bǔ)丁
微軟已經(jīng)兌現(xiàn)了它的諾言,并且已發(fā)布用于IE的安全更新來解決在版本9以及之前版本中的內(nèi)存崩潰零日漏洞,目前這些漏洞正在各種攻擊中被利用。
該更新文件也照顧到四個(gè)私下被披露的漏洞,后者目前未被利用。
除了該更新以外,微軟還發(fā)布了用于所有支持版本的Windows 8和Windows Server 2012上的IE10中Adobe Flash播放器補(bǔ)丁,以便關(guān)閉允許遠(yuǎn)程代碼執(zhí)行的兩個(gè)漏洞。
兩個(gè)漏洞中的一個(gè)——CVE-2012-1535——目前正被Elderwood幫派利用,后者是一個(gè)黑客團(tuán)體、他們的活動(dòng)最近被賽門鐵克的研究人員們曝光。
“我們承認(rèn)與Adobe Flash播放器有關(guān)的更新過程一直有一些爭(zhēng)議。微軟承諾采取恰當(dāng)?shù)幕顒?dòng)來保護(hù)我們的消費(fèi)者,并且我們正在與Adobe密切地合作來交付有質(zhì)量的、與Adobe公司更新過程保持一致的防護(hù)措施”,微軟的可信計(jì)算主管Yunsun Wee評(píng)論到。
他還宣布至于IE10中的Adobe Flash播放器,用戶們可以期待按照季度地定期更新,并且如果威脅態(tài)勢(shì)需要的話會(huì)有額外的計(jì)劃外更新。
“最近幾個(gè)月以來IE的零日漏洞一直很罕見。上個(gè)IE零日漏洞是在2010年12月,并且在2011年2月的周二補(bǔ)丁日發(fā)布補(bǔ)丁修復(fù)。好消息是零日漏洞變得不再頻繁地橫跨微軟所有的產(chǎn)品”。nCircle公司的安全運(yùn)營(yíng)主管Andrew Storm為Help Net Security網(wǎng)站做出評(píng)論。
“微軟從發(fā)布建議到補(bǔ)丁發(fā)布如此之快的能力表明了他們提供消費(fèi)者一個(gè)安全的計(jì)算環(huán)境的承諾。早在今年初,微軟聲明如果需要的話他們擁有足夠的資源每個(gè)月都提供IE補(bǔ)丁。這些額外的資源必然有助于他們?cè)谧疃虝r(shí)間內(nèi)提供補(bǔ)丁”。
沒有啟用自動(dòng)更新的微軟用戶被建議手動(dòng)地檢查更新文件,并且盡可能早地下載并安裝今天的更新。