微软本次大更新 9个漏洞是最高危险级别

微软本次大更新 9个漏洞是最高危险级别

微软在礼拜二发布了自二月份以来最大的一次更新，共发布了9个公告，修补了14个漏洞，包括Office、IE以及各个版本的Windows系统；其中有9个漏洞为严重级，这是微软的最高危险级别。

　　严重级6个：
　　MS07-042(KB 936227)：修补微软XML核心服务漏洞；受影响软件包括Windows、XML核心服务。
　　MS07-043(KB 921503)：修补OLE漏洞；受影响软件包括Windows、Visual Basic、Mac平台Office。
　　MS07-044(KB 940965)：修补微软Excel漏洞；受影响软件包括Office。
　　MS07-045(KB 937143)：修补IE漏洞；受影响软件包括Windows、IE。
　　MS07-046(KB 938829)：修补Windows画图引擎（GDI）漏洞；受影响软件包括除Vista以外的所有Windows版本。
　　MS07-050(KB 938127)：修补微软VML漏洞；受影响软件包括Windows、IE。

　　重要级3个：
　　MS07-047(KB 936782)：修补Windows Media Player漏洞；受影响软件包括Windows。
　　MS07-048(KB 938123)：修补Vista的Gadqets漏洞；受影响软件包括Vista。
　　MS07-049(KB 937986)：修补微软虚拟机漏洞；受影响软件包括Virtual PC、Virtual Server。

　　专家们对哪个更新优先级最高还存在争论。某公司安全主管Andrew Storm认为6个严重级别的更新同等重要。某漏洞研究实验室的主管Amol Sarwate认为GDI漏洞（MS07-046）最严重。而另一位专家Don Leatham认为MS07-042影响面最广。但三个人都同意将GDI漏洞更新放在前列。根据微软的说法，MS07-046影响除Vista以外的所有Windows版本，一旦被成功利用，骇客能够完全控制PC。Sarwate说：“这会影响Windows的核心子系统，除Vista外，无一幸免；与其它大多数漏洞如IE漏洞不同的是，其只需要一个恶意的影像文件，就可以实施攻击。”Leatham将GDI漏洞更新作为需要立即更新的两个补丁之一，他说：“微软对其轻描淡写，但是几乎所有微软应用程序都用到GDI。骇客将会视其为凤凰涅磐，这么容易就可以针对所有工作站进行攻击。”

　　其它8个补丁更新也要引起管理员的注意，下面是三个人的一些评论：

　　Storms：在今天的IT界，虚拟真是一件大事情；每个人都有这样的疑问，虚拟操作系统会影响宿主操作系统吗？正是由于这个原因，我比较关注MS07-049，虽然它只是重要级，还够不上严重级。这个漏洞可以通过虚拟操作系统在宿主操作系统或另一个虚拟操作系统上执行代码。

　　Sarwate：MS07-045影响所有IE版本。骇客可以利用该漏洞将用户诱骗到恶意网站，导致整个PC被劫持。

　　Leatham：MS07-042影像一切。这个漏洞存在于XML核心服务的多个版本中，XML核心服务是在多种脚本语言之间提供互操作，包括JScript、VS和XML应用，因此影响所有支持该服务的Windows版本，包括Vista。企业中的XML应用这么广泛，这就是为什么如此危险的原因。

　　值得注意的是，这里有许多漏洞在同一地方重复出现，Excel、GDI、VML、XML核心服务都是这样。通常微软每月发布一次更新，可以通过WSUS来获取更新，也可以直接从微软网站下载。