微软安全更新　企业需确定补丁程序优先级

　　微软本周发布了3项安全公告，涉及Microsoft Office和 Forefront Unified Access Gateway 中的 11 个漏洞。其中一个公告被列为微软最高威胁等级 — “严重”。上个月微软补丁日创下了纪录，发布16项安全公告，涵盖49个漏洞。

　　“严重”等级公告涉及针对Office的安全漏洞，在等级为“重要”的第二项安全公告中包含针对 Microsoft Office PowerPoint 2002、PowerPoint 2003 以及 Microsoft PowerPoint Viewer 的漏洞补丁程序。第三项安全公告的威胁等级也为“重要”，该公告涉及Forefront Unified Access Gateway 2010 中的漏洞，Forefront Unified Access Gateway是一款适用于企业网络的 VPN 和远程解决方案。

　　迈克菲实验室的研究架构师Craig Schmugar 指出：“此次补丁日中最重大的漏洞是 CVE-2010-3337，这是一个远程代码执行漏洞，几个月来一直广受关注。当毫无戒心的用户通过局域网、本地设备或通过互联网以WebDAV共享方式访问 PowerPoint 文档时会触发该漏洞。8月份发布的 Microsoft Security Advisory (2269637) 对这一重大问题做出了警告，差不多同一时间，PowerPoint 存在安全隐患也成为众所周知的事情。”

　　今天的安全公告并没有对最近的零日Internet Explorer 漏洞加以解决，该漏洞通过引诱用户访问恶意网页，利用漏洞来执行任意代码。

　　Schmugar 坦言：“与今天安全公告所包含的内容相比，更值得我们注意的是公告未涵盖的漏洞。针对最近零日 Internet Explorer 漏洞 (CVE-2010-3962) 的攻击已在 Eleonore 中“现身”— 这一常见的漏洞攻击工具也称为 Exploit-Eleono。目前，微软尚未对何时发布针对该漏洞的补丁程序透露任何信息，迈克菲及其他 MAPP 合作伙伴将继续保持对事态的密切监控。”

　　建议所有用户应尽快安装微软的补丁程序，家庭用户应当使用Windows自动更新功能，企业用户需要部署风险管理策略以确定补丁程序的优先级。