作为7月补丁星期二的一部分,Microsoft发布了七个公告,修复了.NET Framework,Windows内核和Internet Explorer中的34个独特错误。 Microsoft市场上还针对与安全漏洞相关的应用提供了新的180天政策。
微软在昨天下午发布的补丁星期二公告中说,在这七个公告中,有六个被定为重要,一个被定为重要。 Microsoft建议先安装IE公告(MS13-055),然后再安装Windows内核模式驱动程序的公告之一(MS13-053)。 其余的TrueType和Windows公告位于下一个优先级组,后面是唯一的“重要”补丁。
Rapid7安全工程高级经理Ross Barrett说:“ Microsoft核心世界中的所有事物都会受到其中一个或多个的影响;每个受支持的操作系统,MS Office,Lync,Silverlight,Visual Studio和.NET的每个版本。”
Windows 8.1 Preview和IE 11不受任何这些公告的影响。
丑陋,丑陋的字体
三个单独的公告(MS13-052,MS13-053和MS13-054)修复了.NET中的TrueType字体漏洞。 BeyondTrust的CTO Marc Maiffret说,此TrueType字体错误与Stuxnet和Duqu所利用的错误类似,除了它存在于.NET中而不是Windows内核中。
MS13-054修复了Windows内核中的组件GDI +中的TrueType漏洞。 该漏洞影响多种产品,包括Windows,Office 2003/2007/2010,Visual Studio.NET 2003和Lync 2010/2013的每个受支持的版本。 Maiffret预测,由于许多产品都使用GDI +,因此攻击者将在不久的将来利用此缺陷。
“ MS13-053是最糟糕的,” CORE Security的技术支持工程师Tommy Chin说道,并补充说:“这是远程执行代码和特权升级的全部内容。” 攻击者可以使潜在的受害者成为社交工程师,以查看包含恶意TrueType内容的特制文件。 Chin说,如果成功,攻击者将获得管理员对受影响系统的访问权限。
由安全研究人员Tavis Ormandy发现的Windows内核中的零日漏洞也已修复。 考虑到针对此漏洞的利用已包含在Metasploit等公共框架中,因此应优先考虑
IE浏览器
Internet Explorer的大规模更新解决了17个缺陷,其中16个是内存损坏漏洞,一个是跨站点脚本错误。 内存损坏漏洞可用于偷渡式攻击中,在这种攻击中,攻击者设置了恶意网页,并使用社交工程策略将用户吸引到了恶意网页上。 Maiffret指出,在过去的几个补丁星期二中,Internet Explorer中存在很多内存损坏错误,并补充说:“必须尽快推出此补丁。”
Microsoft Marketplace政策变更
微软还宣布了一项与微软市场有关的政策变更。 根据新政策,由Microsoft运营的四个应用程序商店(Windows Store,Windows Phone Store,Office Store和Azure Marketplace)中的任何应用程序将有180天的时间来解决安全问题。 时间线适用于被定为关键或重要且未受到攻击的漏洞。
微软表示,如果未在该时间范围内对其进行修补,则该应用将从商店中删除。 该策略适用于第三方开发人员和Microsoft的应用程序。
Tripwire的安全研究员Craig Young表示:“微软正在朝着最大程度地减少各种应用商店中的漏洞应用程序迈出重要一步。
但是,值得注意的是180天是很长的时间,这使得Microsoft极不可能结束应用程序的开发。 开发人员修复一个关键漏洞的时间可能不会超过六个月,并且如果更新的时间确实比预期的要长,Microsoft愿意例外。
考虑到这一点,新政策听起来像是Microsoft采取强硬措施而不会对开发人员造成不利影响的一种方式。
更多未来
对于管理员来说,这将是一个繁忙的月份。 Adobe发布了自己的更新,Oracle将在下周发布所有软件的季度更新。
