微软发布2009年7月安全公告(附补丁下载地址)
本公告摘要列出了 2009 年 7 月发布的安全公告。
对于2009 年7 月发布的安全公告,本公告摘要替代2009年7月9日最初发布的公告预先通知。有关公告预先通知服务的详细信息,请参阅 Microsoft 安全公告预先通知。Microsoft 将在2009年7月15 日上午11 点(美国和加拿大太平洋时间)进行网络广播,以解答客户关于这些公告的疑问。北京时间7月15日早间消息,微软公司发布2009年7月安全公告,共包括6项安全修补。其中Embedded OpenType 字体引擎中的漏洞可能允许远程执行代码 (961371)一项引人注目。
摘要
下表概述了本月的安全公告(按严重性排序)。
Embedded OpenType 字体引擎中的漏洞可能允许远程执行代码 (961371)
此安全更新解决 Microsoft Windows 组件 Embedded OpenType (EOT) 字体引擎中的两个秘密报告的漏洞。 这些漏洞可能允许远程执行代码。 成功利用这些漏洞的安全者可以远程完全控制受影响的系统。 安全者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Microsoft DirectShow 中的漏洞可能允许远程执行代码 (971633)
此安全更新可解决 Microsoft DirectShow 中一个公开披露和两个秘密报告的漏洞。 如果用户打开特制的 QuickTime 媒体文件,这些漏洞可能允许远程执行代码。 成功利用此漏洞的安全者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
ActiveX Kill Bit 的累积性安全更新 (973346)
此安全更新可解决 Microsoft Video ActiveX 控件中一个秘密报告的漏洞。 如果用户使用其中使用 ActiveX 控件的 Internet Explorer 查看特制网页,则此漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Virtual PC 和 Virtual Server 中的漏洞可能允许特权提升 (969856)
此安全更新可解决 Microsoft Virtual PC 和 Microsoft Virtual Server 中一个秘密报告的漏洞。 成功利用此漏洞的安全者可执行任意代码,并可完全控制受影响的来宾操作系统。 安全者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
Microsoft ISA Server 2006 中的漏洞可能导致特权提升 (970953)
此安全更新可解决 Microsoft Internet Security and Acceleration (ISA) Server 2006 中的一个秘密报告的漏洞。如果安全者成功模拟专为 Radius 一次性密码 (OTP) 身份验证和委派 Kerberos 受约束的委派的身份验证配置的 ISA 服务器的管理用户帐户,此漏洞可能允许特权提升。
Microsoft Publisher 中的漏洞可能允许远程执行代码 (969516)
此安全更新解决了 Microsoft Office Publisher 中一个秘密报告的漏洞,如果用户打开特制的 Publisher 文件,则该漏洞可能允许远程执行代码。 成功利用此漏洞的安全者可以完全控制受影响的系统。安全者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
受影响的软件和下载位置
下面按主要软件类别和严重性的排序列出了公告。
Microsoft Windows 2000
公告标识符
MS09-029
综合严重等级
严重
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
(严重)
Windows XP
公告标识符
MS09-029
综合严重等级
严重
Windows XP Service Pack 2 和 Windows XP Service Pack 3
Windows XP Service Pack 2 和 Windows XP Service Pack 3
(严重)
Windows XP Professional x64 Edition Service Pack 2
Windows XP Professional x64 Edition Service Pack 2
(严重)
Windows Server 2003
公告标识符
MS09-029
综合严重等级
严重
Windows Server 2003 Service Pack 2
Windows Server 2003 Service Pack 2
(严重)
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
(严重)
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Server 2003 SP2(用于基于 Itanium 的系统)
(严重)
Windows Vista
公告标识符
MS09-029
综合严重等级
严重
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
(严重)
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
(严重)
Windows Server 2008
公告标识符
MS09-029
综合严重等级
严重
Windows Server 2008(用于 32 位系统)和 Windows Server 2008(用于 32 位系统)Service Pack 2
Windows Server 2008(用于 32 位系统)和 Windows Server 2008(用于 32 位系统)Service Pack 2*
(严重)
Windows Server 2008(用于基于 x64 的系统)和 Windows Server 2008(用于基于 x64 的系统)Service Pack 2
Windows Server 2008(用于基于 x64 的系统)和 Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
(严重)
Windows Server 2008(用于基于 Itanium 的系统)和 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
Windows Server 2008(用于基于 Itanium 的系统)和 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(严重)
注意 您可能必须为单个漏洞安装几个安全更新。 查看列出的每个公告标识符的整列,核实必须安装的更新(基于系统上已安装的程序或组件)。
微软公司表示,此次更新将修补最近曝光的两个0-day漏洞:DirectShow和MPEG2视频流漏洞。
目前,该漏洞已在国内广泛传播,被安全用来散布安全病毒,用户应尽快安装该更新补丁,以免受恶意安全。
下载更新(依重要性排序):
严重(3)
Embedded OpenType 字体引擎中的漏洞可能允许远程执行代码 (961371)
Microsoft DirectShow 中的漏洞可能允许远程执行代码 (971633)
ActiveX Kill Bit 的累积性安全更新 (973346)
重要(3)
Virtual PC 和 Virtual Server 中的漏洞可能允许特权提升 (969856)
Microsoft ISA Server 2006 中的漏洞可能导致特权提升 (970953)
Microsoft Publisher 中的漏洞可能允许远程执行代码 (969516)
其它更新:
应用程序:
Windows Server 2008 备注
*Windows Server 2008 服务器核心安装不受影响。 如果安装 Windows Server 2008 时使用“服务器核心”安装选项,则此更新所解决的漏洞不会影响 Windows Server 2008 的受支持版本。 有关该安装选项的详细信息,请参阅。 注意,“服务器核心”安装选项不适用于某些 Windows Server 2008 版本;请参阅。
MS09-032 注释
**严重等级不适用于此更新,因为此公告中讨论的漏洞不影响此软件。 但是,作为针对将来可能发现的任何新媒介的纵深防御措施,Microsoft 建议使用此软件的客户应用此安全更新。
MS09-028 注释
***DirectX 9.0 的更新也适用于 DirectX 9.0a、DirectX 9.0b 和 DirectX 9.0c。
