微软发布四月份8个安全补丁 修复23个漏洞

据国外媒体报道，微软今天凌晨按计划发布了2009年4月的月度安全补丁，总计8个，其中5个属于最高关键级、2个是次要的重要级，还有一个中等级的。这8个补丁一共修复了多达23个安全漏洞，是近期更新规模较大的一次。这样一来，微软在今年放出的安全补丁总量已经达到16个，其中第一季度只有8个。

微软称，这10个危急安全漏洞存在于Excel电子数据表、IE浏览器、WordPad写字板、Windows操作系统及其他应用程序当中。该公司还指出，已经有黑客在利用上述部分安全漏洞向用户机器发起攻击。

在微软周二发布的10个危急安全漏洞补丁程序中，其中一个是针对Excel的漏洞。该漏洞于今年2月被外界曝光，但直到本周二才被微软正式修复(补丁程序编号为：MS09-009)，该漏洞还影响到及到Office 2000，危害级别也是“危急”，同时会影响到Office XP、2003和2007，但危害级别已降至“重要”(important)。

第二个危急安全漏洞影响到WordPad写字板和Office文本转换器。该漏洞还影响到到Office 2000，危害级别也是“危急”；同时会影响到Office XP、Windows XP和Server 2003，危害级别为重要。该漏洞的相应补丁程序为MS09-010。

微软还表示，MS09-014补丁程序主要修复了IE 6和IE 7两款浏览器上存在的一个重大漏洞。利用该漏洞，网络攻击者可诱使用户访问恶意网页，然后取得用户机器的控制权。该漏洞在Windows XP操作系统上的IE 6危害级别为危急，在Server 2003上的IE 6危害级别为重要。在XP和Vista中的IE 7危害级别为危急，在Server 2003、Server 2008中IE 7的危害级别为重要。该漏洞没有影响到IE 8。

微软周二发布的其他补丁程序还修复了DirectX和Windows HTTP服务存在的漏洞，这两个漏洞的相应补丁程序编号分别为MS09-011和MS009-013。

以下是8个安全补丁的详细分析：

编号：MS09-009/KB968557

详情：修复Office Excel中一个秘密报告的和一个公开披露的漏洞。如果用户打开特制的Excel文件，这些漏洞会导致远程代码执行并使攻击者获得受侵犯系统的完全控制权。

安全等级：重要

影响系统与软件：Office 2000 SP3/XP SP3/2003 SP3/2007 SP1、Mac Office 2004/2008、Office Excel View 2003、Office 2007 SP1格式兼容包

编号：MS09-010/KB960477

详情：修复写字板和Office文本转换器中两个秘密报告的和两个公开披露的漏洞。如果用户打开特制的写字板文档或Word文档，这些漏洞会导致远程代码执行。

安全等级：关键

影响系统与软件：Windows 2000 SP4/XP SP3/XP x64 SP2/Server 2003 SP2/Server 2003 x64 SP2、Office 2000 SP3/XP SP3

编号：MS09-011/KB961373

详情：修复DirectX中一个秘密报告的漏洞。如果用户打开特制的MJPEG文件，该漏洞会导致远程代码执行并使攻击者获得受侵犯系统的完全控制权。

安全等级：关键

影响系统与软件：DirectX 8.1/9.0

编号：MS09-012/KB959454

详情：修复Windows系统中四个公开披露的漏洞。如果攻击者能登陆系统并运行特制程序，则可以获得权限提升。攻击者必须在本地执行代码才能利用这些漏洞。

安全等级：重要

影响系统与软件：从Windows 2000 SP4至今的所有版本系统

编号：MS09-013/KB960803

详情：修复Windows HTTP服务(WinHTTP)中两个秘密报告和一个公开披露的漏洞。这些漏洞会导致远程代码执行并使攻击者获得受侵犯系统的完全控制权。

安全等级：关键

影响系统与软件：从Windows 2000 SP4至今的所有版本系统

编号：MS09-014/KB963027

详情：关键

安全等级：修复IE浏览器中四个秘密报告和两个公开披露的漏洞。如果用户适用IE浏览特制网页或通过HTTP协议连接到攻击者的服务器，这些漏洞会导致远程代码执行。

影响系统与软件：IE 5.01/6 SP1、IE6、IE7 (安装IE8后不受影响)

编号：MS09-015/KB959426

详情：修复Windows SearchPath功能中一个公开披露的漏洞。如果用户将特制文件下载到特定位置，然后打开能在特定环境下载入该文件的程序，则该漏洞会导致权限提升。

安全等级：中等级

影响系统与软件：从Windows 2000 SP4至今的所有版本系统

编号：MS09-016/KB961759

详情：修复中Internet Security and Acceleration (ISA) Serve、Forefront Threat Management Gateway (TMG)、Medium Business Edition (MBE)一个秘密报告的和一个公开披露的漏洞。如果攻击者向受影响系统发送特制网络数据包，或者诱骗用户打开恶意链接或包含恶意内容网站的信息，则这些漏洞会导致拒绝服务(DoS)攻击。

安全等级：重要级

影响系统与软件：ISA Server 2004 SP3/2006 SP1、ForeFront TMG Medium Business Edition (ISA Server 2000 SP2不受影响)