據7月9日國外消息報道,微軟在今日發布了2008年7月的安全公告,4個補丁均為“嚴重”級別,沒有“高危”級別。而這次受到影響的產品,是Windows域名服務、Windows Vista系統中的Windows Explorer、Outlook Web Access和Microsoft SQL服務器。
下面是微軟今日發布的08年7月的安全公告:
MS08-037公告:嚴重
此安全公告題為“域名服務器中存在的漏洞可導致Spoofing攻擊(953230)”。這個補丁涉及Windows 2000、Windows XP和Windows Server 2003的用戶,而不涉及Windows Vista(32位和62位版本)和Windows Server 2008用戶。這一更新修復了CVE-2008-1447和CVE-2008-1454中存在的漏洞。該補丁修改了Windows中的域名系統。微軟表示,域名服務器的客戶端和服務器上均存在這兩個漏洞,這可能導致遠程攻擊者將網絡信息轉移至自己的系統。
MS08-038公告:嚴重
此安全公告題為“Windows Explorer中存在的漏洞可導致遠程執行代碼(950582)”。這個補丁涉及Windows Vista和Windows Server 2008的用戶,而其它版本的Windows用戶則不受影響。這一更新修復了CVE-2008-1435中存在的漏洞。微軟表示:“一旦攻擊者將搜索文件有意打開并保存下來,那么Windows Explorer中存在的這一漏洞就可能導致攻擊者遠程執行代碼。如果用戶使用管理員權限登錄,那么成功利用這一漏洞的攻擊者就可以完全攻擊受影響系統并安裝程序,還可以查看、修改或刪除數據,并能創建擁有所有用戶權限的新賬戶。而使用權限較小的賬戶登錄的用戶受到的影響相對會較小。”
MS08-039公告:嚴重
此安全公告題為“Exchange服務器的Outlook Web Access中存在的漏洞可導致提升權限(953747)”。這個補丁涉及微軟Microsoft Outlook Exchange Server 2003和微軟Microsoft Outlook Exchange Server的用戶。這一更新修復了CVE-2008-2247中存在的問題。微軟表示:“成功利用這些漏洞的攻擊者可以完全進入用戶的Outlook Web Access客戶會議數據,并提升權限。之后,攻擊者可以實施用戶在OWA會議數據內可實施的任何行為。”
MS08-040公告:嚴重
此安全公告題為“微軟SQL服務器中存在的漏洞可導致提升權限(941203)。”這個補丁涉及SQL Server 7.0 SP4、SQL Server 2000 SP4、Itanium版SQL Server 2000 SP4、SQL Server 2005 SP2、64位版SQL Server 2005 SP2、Itanium版SQL Server 2005 SP2、Microsoft Data Engine 1.0 SP4、Microsoft SQL Server 2000 Desktop Engine SP4、Microsoft SQL Server 2005 Express Edition SP2、Microsoft SQL Server 2005 Express Edition with Advanced Services SP2、Microsoft SQL Server 2000 Desktop Engine、Windows Internal Database SP2、Microsoft SQL Server 2000 Desktop Engine、64位版Windows Internal Database SP2的用戶。這一更新修復了CVE-2008-0085、CVE-2008-0086、CVE-2008-0107和CVE-2008-0106中存在的問題。微軟表示,這一補丁修復了四個秘密發現的漏洞。如果漏洞嚴重,這可導致攻擊者執行代碼,進而完全控制受影響系統。之后,經認證的攻擊者即可安裝程序,查看、修改或刪除數據,并能創建擁有所有用戶權限的新賬戶。
(第三媒體 2008-07-09)