[新闻] 微软4月13日发布17个安全补丁

大家好，我是 Richard Chen。微软于北京时间4月13日清晨发布17个安全补丁，其中9个最高级别为严重等级，8个为重要等级。共修复了影响 Microsoft Windows、Microsoft Office、Internet Explorer、Visual Studio、SMB、.Net Framework 和 GDI+ （图形设备接口）的64个漏洞。

本次补丁数量较多，请大家根据补丁严重性程度、利用指数和自身环境综合考量部署顺序。请特别注意，MS11-018、MS11-019和MS11-020均为严重等级且最高利用指数为1（最高），建议大家优先部署。其中，MS11-018修复了 Internet Explorer 中的5个安全漏洞，当用户查看特制网页时可能导致远程执行代码。IE6、IE7和 IE8均受到漏洞影响，IE9得益于开发过程中内置的安全特性不受影响。目前已观测到有限的攻击，因此建议特别优先部署该补丁。MS11-019和 MS11-020则分别修复了 SMB 客户端和服务器中存在的漏洞，其中一个漏洞于2月15日被公开披露。研究显示，攻击者实现远程代码执行的可能性很小，并且外界尚未出现任何相关攻击。

下表概述了本月的安全公告（按严重性排序）：

公告ID	公告标题和摘要	最高严重等级和漏洞影响	重新启动要求	受影响的软件
MS11-018	Internet Explorer的累积性安全更新 (2497640) 此安全更新可解决 Internet Explorer 中四个秘密报告的漏洞和一个公开披露的漏洞。 对于 Windows 客户端上的 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8，此安全更新的等级为“严重”；对于 Windows 服务器上的 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8，此安全更新的等级为“中等”。 Internet Explorer 9 不受漏洞影响。 最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	严重 远程执行代码	需要重启动	Microsoft Windows， Internet Explorer
MS11-019	SMB客户端中的漏洞可能允许远程执行代码 (2511455) 此安全更新解决 Microsoft Windows 中一个公开披露和一个秘密报告的漏洞。 如果攻击者将特制的 SMB 响应发送到客户端发起的 SMB 请求，此漏洞可能允许远程执行代码。 要利用这些漏洞，攻击者必须诱使用户建立与特制的 SMB 服务器的 SMB 连接。	严重 远程执行代码	需要重启动	Microsoft Windows
MS11-020	SMB服务器中的漏洞可能允许远程执行代码 (2508429) 此安全更新解决了 Microsoft Windows 中一个秘密报告的漏洞。 如果攻击者已创建特制的 SMB 数据包并将该数据包发送至受影响的系统，则该漏洞可能允许远程执行代码。 防火墙最佳实践和标准默认防火墙配置可以帮助保护网络，使其免遭企业外部那些试图利用这些漏洞的攻击。	严重 远程执行代码	需要重启动	Microsoft Windows
MS11-027	ActiveX Kill Bit的累积性安全更新 (2508272) 此安全更新可解决 Microsoft 软件中两个秘密报告的漏洞和一个公开披露的漏洞。 如果用户使用 Internet Explorer 查看可实例化特定 ActiveX 控件的特制网页，则此漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 此更新也包括用于三个第三方 ActiveX 控件的 kill bit。	严重 远程执行代码	可能要求重新启动	Microsoft Windows
MS11-028	.NET Framework中的漏洞可能允许远程执行代码 (2484015) 此安全更新解决了 Microsoft .NET Framework 中一个公开披露的漏洞。 如果用户使用可运行 XAML 浏览器应用程序 (XBAP) 的 Web 浏览器查看特制网页，此漏洞可能允许在客户端系统上远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 如果运行 IIS 的服务器系统允许处理 ASP.NET 页面，并且攻击者成功地将特制 ASP.NET 页面上载到该服务器并执行它，此漏洞也可能允许在该服务器系统上远程执行代码，在 Web 主机情形中也是如此。 Windows .NET 应用程序也可能会使用此漏洞绕过代码访问安全性 (CAS) 限制。	严重 远程执行代码	可能要求重新启动	Microsoft Windows
MS11-029	GDI+中的漏洞可能允许远程执行代码 (2489979) 此安全更新解决了 Microsoft Windows GDI+ 中一个秘密报告的漏洞。 如果用户使用受影响的软件查看特制图像文件或浏览包含特制内容的网站，则该漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	严重 远程执行代码	可能要求重新启动	Microsoft Windows， Microsoft Office
MS11-030	DNS解析中的漏洞可能允许远程执行代码 (2509553) 此安全更新可解决 Windows DNS 解析中一个秘密报告的漏洞。 如果攻击者获得网络访问权限，然后创建一个自定义程序以将特制的 LLMNR 广播查询发送到目标系统，则该漏洞可能允许远程执行代码。 采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。 在这种情况下，应阻止从 Internet 访问 LLMNR 端口。	严重 远程执行代码	需要重启动	Microsoft Windows
MS11-031	JScript和 VBScript脚本引擎中的漏洞可能允许远程执行代码 (2514666) 此安全更新解决 JScript 和 VBScript 脚本引擎中的一个秘密报告的漏洞。 如果用户访问特制网站，此漏洞可能允许远程执行代码。 攻击者无法强迫用户访问网站。 相反，攻击者必须诱使用户访问该网站，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。	严重 远程执行代码	可能要求重新启动	Microsoft Windows
MS11-032	OpenType压缩字体格式 (CFF)驱动程序中的漏洞可能允许远程执行代码 (2507618) 此安全更新解决了 OpenType 压缩字体格式 (CFF) 驱动程序中一个秘密报告的漏洞。 如果用户查看用特制 CFF 字体呈现的内容，则该漏洞可能允许远程代码执行。 在所有情况下，攻击者无法强制用户查看特制内容。 相反，攻击者必须蛊惑用户访问该网站，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。	严重 远程执行代码	需要重启动	Microsoft Windows
MS11-021	Microsoft Excel中的漏洞可能允许远程执行代码 (2489279) 此安全更新可解决 Microsoft Office 中 9 个秘密报告的漏洞。 如果用户打开特制的 Excel 文件，这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与登录用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	重要 远程执行代码	可能要求重新启动	Microsoft Office
MS11-022	Microsoft PowerPoint中的漏洞���能允许远程执行代码 (2489283) 此安全更新可解决 Microsoft PowerPoint 中三个秘密报告的漏洞。 如果用户打开特制的 PowerPoint 文件，这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。Microsoft 知识库文章 2501584中提供的适用于 PowerPoint 2010 的自动Microsoft Fix it解决方案“为 PowerPoint 2010 禁用受保护视图编辑操作”可阻止利用 CVE-2011-0655 和 CVE-2011-0656 中介绍的漏洞的攻击媒介。	重要 远程执行代码	可能要求重新启动	Microsoft Office， Microsoft 服务器软件
MS11-023	Microsoft Office中的漏洞可能允许远程执行代码 (2489293) 此安全更新解决 Microsoft Office 中一个公开披露和一个秘密报告的漏洞。 如果用户打开特制的 Office 文件，或者如果用户打开特制库文件所在的相同网络目录中的某个合法 Office 文件，则该漏洞可能允许远程执行代码。 成功利用其中任何一个漏洞的攻击者可以获得与登录用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	重要 远程执行代码	可能要求重新启动	Microsoft Office
MS11-024	Windows传真封面编辑器中的漏洞可能允许远程执行代码 (2527308) 此安全更新解决 Microsoft Windows 中一个公开报告的漏洞。 如果用户使用 Windows 传真封面编辑器打开特制的传真封面文件 (.cov)，则该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	重要 远程执行代码	可能要求重新启动	Microsoft Windows
MS11-025	Microsoft基础类 (MFC)库中的漏洞可能允许远程执行代码 (2500212) 此安全更新可解决使用 Microsoft 基础类 (MFC) 库构建的特定应用程序中一个公开披露的漏洞。 如果用户打开与受影响的应用程序相关联的合法文件，并且该文件位于特制库文件所在的相同网络文件夹中，则该漏洞可能允许远程执行代码。 要成功进行攻击，用户必须访问不受信任的远程文件系统位置或 WebDAV 共享，并从该位置打开文档，然后由受影响的应用程序加载此文档。	重要 远程执行代码	可能要求重新启动	Microsoft 开发工具和软件
MS11-026	MHTML中的漏洞可能允许信息泄露 (2503658) 此安全更新可解决 Microsoft Windows 的 MHTML 协议处理程序中一个公开披露的漏洞。 该漏洞可在用户访问特制网站时导致信息泄露。 在基于 Web 的攻击情形中，网站可能包含用于利用此漏洞的特制链接。 攻击者必须说服用户访问该网站，并打开特制链接。	重要 信息泄露	需要重启动	Microsoft Windows
MS11-033	写字板文本转换器中的漏洞可能允许远程执行代码 (2485663) 此安全更新解决了 Microsoft Windows 中一个秘密报告的漏洞。 对于 Windows XP 和 Windows Server 2003 的所有受支持版本，此安全更新等级为“重要”。Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本不受此漏洞影响。 如果用户使用写字板打开特制的文件，此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	重要 远程执行代码	可能要求重新启动	Microsoft Windows
MS11-034	Windows内核模式驱动程序中的漏洞可能允许特权提升 (2506223) 此安全更新可解决 Microsoft Windows 中 30 个秘密报告的漏洞。 如果攻击者本地登录并运行特制应用程序，这些漏洞可能允许特权提升。 攻击者必须拥有有效的登录凭据并能本地登录才能利用这些漏洞。 匿名用户无法利用这些漏洞，也无法以远程方式利用这些漏洞。	重要 特权提升	需要重启动	Microsoft Windows

详细信息请参考2011年四月份安全公告摘要：

http://www.microsoft.com/china/technet/Security/bulletin/ms11-apr.mspx

此外，微软近日发布了第二版微软安全更新指南，指南涵盖了对风险感知、风险评估、缓解措施、补丁部署与后期监控五个阶段的详细指导，您可在微软官方网站免费下载。

更多参考资源：

• 安装安全更新时可能遇到的已知问题及建议解决方案：

MS11-021：知识库文章 2489279

MS11-022：知识库文章 2489283

MS11-023：知识库文章 2489293

MS11-025：知识库文章 2500212

MS11-028：知识库文章 2484015

• 微软安全响应中心博客文章（英文）：April 2011 Security Bulletin Release

• 四月份安全更新危险评估（英文）：Assessing the risk of the April security updates

• 安全公告 MS11-018相关文章（英文）：MS11-018 addresses the IE8 pwn2own vulnerability

• 安全公告 MS11-019和 MS11-020相关文章（英文）：MS11-019 and MS11-020: April SMB Updates

谢谢！

Richard Chen

大中华区软件安全项目经理