==== 2013. 4. 25– 2013. 5 .15 第 32 期 ====
|
2013年5月15日 |
|
|
|
微软于 5 月 15 日清晨发布 10 个安全补丁,其中 2 个为最高级别严重等级, 8 个为重要等级,共修复 Internet Explorer 、 Microsoft Windows 、 Microsoft Office 、 Server and Tools 和 .NET Framework 中的 33 个安全漏洞。请特别优先部署严重等级补丁 MS13-037 、 MS13-038 和 MS13-039 。 MS13-037 解决 Internet Explorer 中的 11 个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。 MS13-038 永久性地解决了在 Microsoft 安全通报 2847140 中描述的 Internet Explorer 8 中的漏洞。 MS13-039 解决了 Windows 中的一个安全漏洞。如果攻击者向受影响的 Windows 服务器或客户端发送特制 HTTP 数据包,该漏洞可能允许拒绝服务。此外,微软还发布了 安全通报 2820197 和 安全通报 2846338 。 |
|
|
2013 年5 月 14 日 |
|
|
微软软件安全开发生命周期 (SDL) 已经提出了近十年的时间了,在这过去的十年中,互联网经历了翻天覆地的变化。但是我们也可以看到,互联网犯罪也在迅猛增长,网络安全事故也是层出不穷。微软调查发现只有 37% 的企业在软件开发中将软件的安全性纳入需求之中,这样的现状不得不让人担忧。其中阻碍企业使用安全开发流程的原因一个是缺乏管理上的认可。不过 ISO 发布了 ISO/IEC 27034-1 标准,为软件安全开发制定了标准,因此安全开发或许将会成为一种强制措施。其次,开发人员缺乏相应的培训也是阻碍因素之一。微软在 SDL 网站 上提供了大量的免费的安全开发工具和指导文档,可以供开发人员学习。另外一个原因是企业在资金开销方面的顾虑,但是 Aberdeen Group 的研究 表明安全的代码能够为企业创造更多的收益。因此在软件开发过程中,无论是使用者还是开发者都应时刻注意“安全”。 |
|
2013 年 5 月3日 |
|
|
|
微软在 5 月 3 日发布了 安全通报 2847140 以解决在 Internet Explorer 8 中的一个安全漏洞。当攻击者诱使用户使用 IE 8 浏览一些恶意站点时,该漏洞可能触发远程代码执行。攻击者通常通过邮件或即时消息传播这些恶意链接。 Internet Explorer 6 、 7 、 9 和 10 并不受该漏洞的影响,因此通过 升级 IE 到版本 9 或者 10 均可避免该漏洞的影响。微软正在积极地制定解决方案,于此期间,微软希望受影响的用户采取以下措施缓解该漏洞的影响: 1. 将 IE 浏览器中 Internet 和本地局域网的安全级别调整至“高”,以阻止 Active X 控件和动态脚本。 2. 配置 IE 浏览器,使其在 Internet 和本地局域网中,在运行动态脚本前提示用户,或直接禁止动态脚本。以上两个防护措施可能都会影响到用户正常访问一些常用网站,因此建议用户将常用的可信的站点添加到 IE 的受信任站点中。 |
|
感谢您的关注!
微软大中华区安全团队
Microsoft GCR Security Team
