今天,微软发布了自从5年以前改为每月发布更新制度以来的最大规模的一次更新。这次更新包括28个修补程序,几乎所有的都被标识为“严重”。 发布的这28个修补程序中,微软把其中的23个归类于严重类型,这是它的划分四级程度系统比例最好的一次。在其他的5个中,其中3个评价为“重要”,比“严重”低一个等级,两外2个评价为“中等”。这些补丁随着对windows,IE,Office,SharePoint,Windows Media和微软最流行的开发工具Visual Basic和Visual Studio的8次更新一块发布。
研究者建议应该把windows的每一次更新列为首先要做的事情。“对于很多人来说,仍然有很多问题”,nCircle Network安全公司的安全主管Andrew Storms说,“图形设备接口是一个”。
代号MS08-071,包含两个单独的“严重”补丁,更新了Windows的核心图形渲染组件-Graphics Device Interface(GDI)。微软已经多次修补GDI,最新的一次在九月份。
“这和MS08-021看起来很像”,Strom说,根据是四月份更新的2个GDI补丁。和上一次的修补程序一样,还有九月份的修补的漏洞,黑客可以利用这些漏洞欺骗用户打开或者浏览恶意的windows图元文件。
“MS08-71很像去年和前年的各一次有关WMF文件的更新”,Qualys公司经理Amol Sarwate说,“它在系统核心中,它总是存在,利用它被攻击的几率很高“,和Strom一样,Sarwate把这项更新列为头条。
Strom说,这项一直对GDI打补丁的工作不可避免的让一些人质问微软吹嘘的安全开发生命周期的进程,经过对bug的详细检查代码是否有效。“SDL有作用吗?我不知道“,Stroms承认,“没有看到代码分析,很难作判断"。
“当然有作用,我认为这是个明显的问题“,Qualys 的技术主管说,“期望微软发现所有问题现实吗?当然不现实了”。
Storms说,IE的更新程序MS08-073将是他下一个优先更新的程序,原因很简单,有关它的4个漏洞补丁全是严重的,而且还是微软的优势浏览器。做完这些之后就模糊了。“GDI和IE当然是排在前面,可是除了他们就很难确定了”,他说,“对于人们来说,做完了第一和第二件事情就很难决定去做什么了”。
