在本月的漏洞更新中,微软解决了Forefront Unified Access Gateway(UAG),以及Office和PowerPoint中的漏洞。
微软本周二发布了三个安全公告,解决了11个安全漏洞。其中一个安全公告解决了微软Office中的5个漏洞,其中有一个漏洞允许攻击者通过让用户打开一个恶意的多格式文本电子邮件信息,从而在受害者机器上远程执行代码。对于微软Office 2007和2010,此安全更新被定义为“严重”。
漏洞管理供应商Rapid7 LLC的安全研究员Josh Abraham表示这个严重的漏洞可使网络罪犯执行drive-by恶意攻击。
微软也解决了其Forefront UAG中的4个漏洞。Forefront UAG是一个SSL VPN,用于让远程工作者获得对企业系统和应用程序的安全访问。UAG存在一个欺骗漏洞,该漏洞允许恶意员工增加他们的用户权限。对于Forefront Unified Access Gateway 2010所支持的所有版本来说,此公告被定义为“重要”。
漏洞管理厂商Qualys 的首席技术官Wolfgang Kandek在公司博客中写道,“如果不修复该漏洞,如果管理员点击了恶意跨站脚本链接,就将导致恶意代码执行,从而允许攻击者在Forefront服务器上创建用户,或改变设置。”
此外,微软还解决了PowerPoint中的两个漏洞。微软表示这两个漏洞允许攻击者通过让用户打开恶意PowerPoint文件,从而在受害者的机器上远程执行代码。尽管这个更新被定义为“重要”,但是微软将这两个漏洞的攻击指数定为1,也就是说攻击者很有可能以该漏洞为攻击目标。此次更新涉及在Mac系统上运行的微软PowerPoint 2002、2003和Office 2004。
微软上周公布的IE零日漏洞还没有修复。安全专家警告称微软在其安全咨文中给出的应对措施可能会造成一些网页中断。