微軟發(fā)布十月安全更新 Office組件漏洞再現(xiàn)

微軟在今天凌晨發(fā)布10月份例行安全更新，本次更新修復了7個安全漏洞，影響Microsoft Office 2003, 2007和2010版的漏洞被定義為嚴重級別，其他六個面向Windows、SQL和Lync的補丁被評級為“重要”，漏洞暫不涉及即將上市的Windows 8。金山衛(wèi)士已同步更新漏洞庫，請所有用戶按照提示安裝更新。

圖1 金山衛(wèi)士掃描到需要安裝的漏洞信息

公告編號MS12-064的安全漏洞與普通網(wǎng)友關(guān)系比較大。攻擊者利用該漏洞蓄意構(gòu)造特制的RTF文件，再發(fā)給特定的攻擊目標，打開這種特制的RTF文件會被植入木馬。另一個與SQL 服務有關(guān)的漏洞可能導致XSS(跨站腳本)攻擊，攻擊者利用此漏洞的特制鏈接發(fā)送給用戶，用戶點擊鏈接后可以運行第三方站點的有害代碼。

金山毒霸安全專家建議用戶立即使用金山衛(wèi)士或Windows Update修復漏洞，及時預防可能到來的黑客攻擊。

附：微軟發(fā)布的10月份補丁信息

(僅列出與個人電腦密切相關(guān)的部分，更多漏洞信息，請參考微軟十月安全公告摘要：http://technet.microsoft.com/en-us/security/bulletin/ms12-oct)

1、Windows內(nèi)核中的漏洞可能允許特權(quán)提升

安全公告：MS12-068

知識庫編號：KB2724197

級別：重要

描述：如果攻擊者登錄到系統(tǒng)并運行特制的應用程序，該漏洞可能允許特權(quán)提升。攻擊者必須擁有有效的登錄憑據(jù)并能本地登錄才能利用此漏洞。

影響系統(tǒng)：XP(SP3);vista(SP2);vista_64(SP2);2003(SP2);win7_32(SP0、SP1);win7_64(SP0、SP1)

2、Kerberos中的漏洞可能允許拒絕服務

安全公告：MS12-069

知識庫編號：KB2743555

級別：重要

描述：此安全更新可解決Microsoft Windows中一個秘密報告的漏洞。如果遠程攻擊者發(fā)送一個特制的Kerberos服務器的會話請求，則該漏洞可能允許拒絕服務。采用防火墻最佳做法和標準的默認防火墻配置，有助于保護網(wǎng)絡免受從企業(yè)防線外部發(fā)起的攻擊。按照最佳做法，應使連接到Internet的系統(tǒng)，有一個最小的暴露的端口數(shù)。

影響系統(tǒng)：win7_32(SP0、SP1);win7_64(SP0、SP1)

3、在Microsoft Word中的漏洞可能允許遠程執(zhí)行代碼

安全公告：MS12-064

知識庫編號：KB2687483、KB2687315、KB2553488

級別：嚴重

描述：此安全更新可解決Microsoft Office中兩個秘密報告的漏洞。更嚴重的漏洞可能允許遠程執(zhí)行代碼，如果用戶打開或預覽特制的RTF文件。成功利用此漏洞的攻擊者可以獲取當前用戶相同的用戶權(quán)限。

影響系統(tǒng)：office2003sp3;office2007sp2;office2007sp3;office2010sp1