安全专家表示,Internet Explorer更新修复了浏览器中的六个错误,这是一个值得关注的问题。这是因为它对于运行Windows XP的Internet Explorer 6用户至关重要 - 这是企业中非常常见的配置。
[更多阅读:如何从Windows PC删除恶意软件]
但是运行Windows Active Lumension Security的解决方案和战略总监Don Leatham表示,旧版Windows 2000计算机上的目录应该将MS08-060 Active Directory更新移到补丁队列的顶部。由于Active Directory服务器可用于设置其他计算机上的权限并管理网络上的用户,因此接管这台计算机“对于试图进入公司并完全破坏公司的人来说,将是圣杯”,他说。 >通常情况下,Active Directory服务器在防火墙处被阻塞,这意味着攻击者可能不得不在内部网络上发起攻击,Shavlik Technologies首席技术官Eric Schultze说。但是这个bug“意味着任何内部的,不满的用户都可以完全控制Windows 2000域和域控制器,”他通过即时消息表示。“然而,减轻这种担忧的是微软尚未有任何报告漏洞已经在攻击中被利用。微软在其网站上的一份报告中称,虽然攻击者可能通过利用这个漏洞攻击Windows 2000计算机,但“利用远程代码执行代码创建正常运行的代码很困难”,总共有20个安全漏洞在微软的11个更新中得到修复。还有六个不太重要的更新,被微软评为“重要”,用于各种Windows组件,以及一个“中等”修补程序,修复了一个可能让攻击者窃听Office用户信息的错误。
Oracle的安全更新预计在下午1点太平洋时间,将包括修复一系列Oracle产品中的36个错误,包括该公司的旗舰数据库,应用服务器,电子商务套件以及WebLogic服务器和开发工具。针对该公司的JD Edwards和PeopleSoft产品也计划修复漏洞。微软和甲骨文在同一天推出补丁程序并不常见。微软的安全更新在每个月的第二个星期二推出,在业内称为Patch Tuesday。但甲骨文的补丁是季度事件,在本月中旬附近的周二发布。通常情况下,这会在本月的第三个周二发布Oracle修补程序,但本月微软和甲骨文发布日期趋于一致。周二的微软更新也为公司的客户提供了更多信息。它们包括一个名为“可利用性指数”的新部分,旨在让Windows用户更容易找出哪些错误最可能被黑客利用。
微软现在已将其所有安全更新评为以下描述:“一致的利用代码可能”,“不一致的利用代码可能”或“功能利用代码不太可能”。
该公司表示,利用代码很可能是关键Internet Explorer,Microsoft Host Integration Server和Excel更新中的错误。微软表示,其中一个IE浏览器漏洞可能让攻击者在Windows机器上获得更高权限,这已经被公开披露,但并未被认为用于实际攻击。另一个原因是:微软在本月早些时候向某些安全合作伙伴提供了更新版本的更新,以便他们可以在周二发布补丁时将攻击检测转移到他们的软件中。