Microsoft在12月补丁星期二修复Tiff零天

微软为12月的补丁星期二发布了11个安全公告，修复了Microsoft软件中的24个漏洞，包括Microsoft Windows，Internet Explorer，Office和Exchange。 尽管微软没有解决11月发现的XP / Server 2003中的零日漏洞，但它确实修复了影响Windows，Office和Lync企业消息传递系统的TIFF错误。

这些公告中有五个被评为“严重”，其余六个被视为“重要”。 在这种情况下至关重要，意味着一旦被利用，此漏洞将使攻击者能够远程执行代码。 在这种情况下，重要的是意味着该漏洞可能导致用户数据受到破坏或某些进程被破坏。 Microsoft建议立即应用重要补丁，并“尽早”应用重要补丁。

Rapid7的安全工程高级经理Ross Barrett说：“就像这个季节的最后一场晚热带风暴一样，微软正在安全和IT团队中进行最后一次抽签。”

修复的零日

图形组件零日问题影响了Windows Vista，Windows Server 2008，Office 2003/2007/2010和Lync 2010/2013。 可以通过预览或打开恶意制作的TIFF图像来利用此漏洞，并且主动攻击已成功针对XP系统上的Office 2010。 Microsoft Trustworthy Computing的组经理Dustin Childs说，此错误已在MS13-096中修复。

Lumension的法医分析师Paul Henry告诉SecurityWatch，即使用户和管理员在11月安装了此修补程序，也应将此补丁视为头等大事。 亨利说：“因为说服用户单击并不总是那么难，所以绝对欢迎为此添加补丁。”

Internet Explorer的许多修复程序

下一个优先级修补程序应该是MS13-097，这是对Internet Explorer的累积更新。 该公告消除了七个错误。 尽管目前尚未解决这些问题，但许多恶意软件编写者都喜欢对补丁进行反向工程以创建新的漏洞利用程序。 这意味着未及时更新IE的用户可能会被这些漏洞之一捕获。

BeyondTrust的CTO Marc Maiffret警告说，IE补丁中修复的bug之一会影响Internet Explorer的每个受支持的版本。 他说：“尽快推出该补丁。”

解决Microsoft脚本运行时对象库（MS13-099）中问题的公告也应被视为高优先级，因为此Windows组件随操作系统的每个版本分发。 Maiffret警告说，攻击者可以通过网络浏览器发动偷袭攻击，并诱骗受害者的计算机执行恶意代码，从而利用该缺陷。

验证签名中的问题

Microsoft解决了每个受支持的Windows版本中存在的WinVerifyTrust签名验证机制（MS13-098）中的问题。 攻击者可以利用此缺陷来修改已签名的程序，而不会使程序的签名无效。 Maiffret说，用户会认为可执行文件是合法程序，因为实际上它包含恶意代码，因此具有合法签名。

针对这种漏洞的攻击已经在野外被观察到，因此部署此补丁程序也成为优先事项。

Outlook Web Access中的Exchange错误

Microsoft Exchange公告（MS13-105）解决了Outlook Web Access（OWA）的问题，并且与Oracle的由外而内的组件有关。 Oracle于10月份在其重要补丁更新中发布了该组件的新版本之后，发布了此补丁。 攻击者可以通过电子邮件发送恶意文档来利用这些漏洞。 Qualys的首席技术官Wolfgang Kandek说，攻击者诱使用户查看整个邮件服务器后，便可以控制整个邮件服务器。 “如果您在设置中使用OWA，则MS13-105对您的组织来说是重要的补丁程序，” Kandek说。

修补Adobe Flash

该公司还发布了其他四项公告，其中一项更新了Internet Explorer中的Adobe Flash Player。 Adobe今天早些时候修补了Flash Player 11.9.900.153和Windows和Mac OS X早期版本中的两个漏洞。Adobe表示，其中一个问题目前正在广泛针对。 微软之所以发布此公告，是因为它将Flash Player捆绑在最新版本的Internet Explorer中，类似于Google在其Chrome浏览器中所做的。

另一个Microsoft咨询解决了影响ASP.NET应用程序的一个重要的与身份验证相关的问题。.NET应用程序开发人员需要注意该建议，以确保其应用程序不受影响。

巴雷特说：“对于这里的所有团队来说，这将是一个忙碌的月份，很高兴为大家打补丁。”