微软补丁'insane' number of bugs

23个漏洞中有10个已经被利用或公开

1 2 Page 2
第2页,共2页

Storms推测:“令牌绑架漏洞的确已经存在了很长时间,人们可能已经围绕它编写了代码。” “我认为,现在已经有补丁发布了,他们再考虑他们的[exploit]代码是安全的。”

Storms说,这就是为什么本月的补丁如此重要的原因-不是因为数量比过去三个月有了“巨大的飞跃”,而是因为野蛮的漏洞利用和公开的概念验证代码示例可用。他解释说:“一旦微软发布了补丁程序,其中的内容便得到了修复,并且[攻击者]可以更轻松地查看其利用代码在哪里起作用和不起作用。它使他们可以创建更容易被利用的代码。”

安全专家说,其他重要更新对于快速应用也很重要,其中包括针对IE的六个错误修复程序( MS09-014 )和Windows HTTP服务的三个错误的补丁程序( MS09-013 )。这两个更新都标记为“关键”。

舒尔茨在谈到2008年11月发布的更新时说:“微软在MS08-068中向HTTP添加了与纯SMB相同的保护方法。微软决定重新使用该代码以提供更多保护,这真是太酷了。用于凭证反射。

“微软现在处于第三安全级别,”舒尔茨继续说道。 “第一是被动的,第二是开发安全软件的最佳实践,第三是回头并找到他们通常不会寻找的东西。”

今天的安全性部署还包括DirectX的更新( MS09-011 ),ISA Server( MS09-016 )和Windows SearchPath函数( MS09-015 )。微软将第一个标记为关键,第二个标记为重要,第三个标记为中等。

可以通过Microsoft Update和Windows Update服务以及Windows Server Update Services下载和安装April的八个安全更新。

版权© 2009 IDG通讯,Inc.

1 2 Page 2
第2页,共2页
  
在亚马逊上购买技术产品