管理员将在2013年最后的一个星期二补丁日忙于实施一系列关键和重要安全更新。
最新的一轮周二安全补丁更新包括11个公告,其中5个是至关重要的。所有的这5个关键公告修补了远程代码执行漏洞。
这让今年公告总数达到106个,标志着2013年以比2011和2012年更少的公告结束的趋势。
公告MS13-105包括安全补丁,解决了四个影响Exchange Server 2007、Exchange Server 2010和Exchange Server 2013的关键漏洞。
据IT安全公司Qualys的漏洞实验室主任Amol Sarwate称,预防数据丢失和WebReady文档查看功能中被发现的漏洞可以被攻击者利用,对受影响的服务器上的最终用户发送电子邮件。如果使用Outlook Web Access打开邮件,攻击者可能会危害整个Exchange Server。
安全解决方案包括更新Oracle Outside In library,2013年多个周二补丁都有所涉及。
另一个关键漏洞公告解决了多个版本的微软Office、微软Lync和Windows中的漏洞。MS13-098中的漏洞在终端用户打开恶意的标签图像文件格式(TIFF)时容易被利用。这是上个月微软发布零日攻击解决方案的主题之一。
尽管如此,Qualys的CTO Wolfgang Kandek说:“很少有人实施这些解决方案。大概10%的人安装了补丁也实现了该解决方案。”
Kandek还指出,TIFF漏洞对操作系统级和应用程序级都会产生影响。虽然会影响到Windows Vista和Windows Server 2008,但如果企业在比较新的版本上运行2003-2010版的Office软件,也可能会收到影响。
Kandek说,这些问题给了IT专业人士放弃旧版本软件使用新版软件的理由。
Kandek说:“这些缺陷,这些零天,我认为它们说明软件已经老了,软件越老越容易受攻击。”
多个版本的Internet Explorer将获得关键安全更新以修复7个漏洞,如果终端用户使用受影响的浏览器打开恶意网页,就会被攻击。
其他重要安全更新包括Windows修复漏洞,该漏洞可以利用便携式执行文件。微软Scripting Runtime Object Library也获得了漏洞更新,如果最终用户访问恶意网站,该漏洞就会被利用。
六个重要的安全更新包括修复远程代码执行、提升特权、信息披露和安全特性绕过漏洞。
两个公告涉及微软Office安全更新。一个修复信息漏洞,该漏洞在最终用户试图从恶意网站打开Office文件时被利用。另一个公告解决安全特性绕过漏洞,该漏洞可以引发网页浏览器攻击。
其他重要的安全更新解决SharePoint、Windows内核模式驱动、LRPC客户机和ASP.NET SignalR中的问题。
完整的更新列表可以在这里找到。
