吳明宜微軟週二公佈 9 個安全公告,修補 Windows 、 Information Services (IIS) 及 Office 軟體中 11 個弱點。
4 項弱點被列為「重大」,5 項為「重要」。
微軟也公佈 2 個安全建議公告。 Security Advisory 2401593 描述一個弱點會導致權限升高,影響使用 Outlook Web Access 的 Exchange 的客戶。另一項,Security Advisory 973811 則提供關於 Outlook Express 及 Windows Mail 新功能– Extended Protection for Authentication 的資訊。
微軟建議客戶優先安裝 MS10-061 修補 Print Spooler Service 弱點,以及 MS10-062,它是修補 MPEG-4 codec 的弱點。
nCircle 安全營運總監 Andrew Storms 表示,MS10-061 修補了 Stuxnet 蠕蟲藉此繁殖散佈的瑕疵。「不幸的是,蠕蟲和殭屍電腦一樣,你殺不死它,只能使其衰弱,本修補程式也是一樣。」
賽門鐵克安全回應中心安全智能經理 Joshua Talbot 指出,Print Spooler 服務瑕疵是本月最危險的弱點。
「一台某台電腦被設定可共用印表機,本地或遠端攻擊者就可以利用該漏洞取得系統權限,並在作業系統檔案儲存的 Windows 核心目錄裡的任何檔案裡,加入惡意程式。目錄中的系統和組態檔案常是自動執行的。藉由覆寫這些程式,攻擊者提供的程式碼就可以取代合法檔案自動執行,進而入侵整台機器。」
Qualys CTO Wolfgang Kandek 在部落格中指出,OpenType 函式庫一項重大瑕疵可在使用者瀏覽過惡意郵件或網站後,使攻擊者摧毀使用者的機器。
「該弱點不需要使用者有其他動作,是一種下載後攻擊手法的最佳目標,惡意程式是在使用者同意下載到電腦中。雖然微軟認為它不易攻擊,但我們相信攻擊者會善用這項弱點逞其目的。」
9 月安全修補程式較 8 月來得少,後者修補的弱點創下微軟紀錄。