微軟10月安全公告：7個(gè)安全補(bǔ)丁 修Office等漏洞

Win7之家（ afsion.com.cn）：微軟10月安全公告：7個(gè)安全補(bǔ)丁 修Office等漏洞

微軟于北京時(shí)間10月10日發(fā)布7個(gè)安全補(bǔ)丁，其中1個(gè)為最高級(jí)別嚴(yán)重等級(jí)，其余6個(gè)為重要等級(jí)，共修復(fù) Microsoft Windows, SQL Server 和Office組件(包括SharePoint, Lync, Microsoft Works, InfoPath)中的20個(gè)安全漏洞。請(qǐng)?zhí)貏e優(yōu)先部署嚴(yán)重等級(jí)補(bǔ)丁MS12-064。MS12-064解決 Microsoft Office 中兩個(gè)秘密報(bào)告的漏洞。如果用戶(hù)打開(kāi)或預(yù)覽特制的 RTF 文件，較嚴(yán)重的漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶(hù)相同的用戶(hù)權(quán)限。其他補(bǔ)丁中需要特別注意的是MS12-067，此安全更新解決了首次在Microsoft 安全通報(bào) 2737111 中描述的漏洞。

微軟于同一天重新發(fā)布了Microsoft 安全通報(bào) (2661254)和Microsoft 安全通報(bào) (2749655)。

Microsoft 安全通報(bào) (2661254)宣布Microsoft 提供一個(gè) Windows 更新，它可限制 RSA 密鑰位長(zhǎng)度少于 1024 位的證書(shū)的使用。這些證書(shū)中使用的私鑰可被推導(dǎo)出來(lái)，可能允許攻擊者復(fù)制證書(shū)，并欺騙性地使用它們哄騙內(nèi)容、執(zhí)行網(wǎng)頁(yè)仿冒攻擊或執(zhí)行中間人攻擊。該更新可從下載中心及 Microsoft Windows 的所有受支持的版本 Microsoft Update 目錄下載。

Microsoft 安全通報(bào) (2749655)說(shuō)明了影響簽署的 Microsoft 二進(jìn)制的兼容性問(wèn)題。涉及由 Microsoft 生成的而沒(méi)有正確時(shí)間戳屬性的特定數(shù)字證書(shū)，這些數(shù)字證書(shū)隨后用于簽署一些 Microsoft 核心組件和軟件二進(jìn)制，這可能導(dǎo)致受影響的二進(jìn)制和 Microsoft Windows 之間出現(xiàn)兼容性問(wèn)題。這不是一個(gè)安全問(wèn)題，但是此問(wèn)題可能會(huì)對(duì)正確安裝和卸載受影響的 Microsoft 組件和安全更新的能力產(chǎn)生負(fù)面影響。為預(yù)先采取措施來(lái)幫助客戶(hù)，Microsoft 面向 Microsoft Windows 的受支持版本提供了一個(gè)非安全更新。此更新幫助確保 Microsoft Windows 與受影響的軟件二進(jìn)制兼容。

下表概述了本月的安全公告：