微软十一月十一日发行六个安全补丁

아티클
11/10/2009

大家好, 我是 Richard Chen. 微软在十一月十一日清晨发行六个安全补丁。其中三个最高级别为严重等级，三个最高级别为重要等级。
其中 Windows 7 操作系统 皆不在受影响产品之列 。

公告 ID	公告标题和摘要	最高严重等级和漏洞影响	重新启动要求	受影响的软件
MS09-063	Web Services on Devices API 中的漏洞可能允许远程执行代码 (973565) 此安全更新解决 Windows 操作系统上的 Web Services on Devices 应用程序编程接口 (WSDAPI) 中的一个秘密报告的漏洞。如果受影响的 Windows 系统接收特制数据包，此漏洞可能允许远程执行代码。只有本地子网上的攻击者才能利用此漏洞。	严重远程执行代码	需要重启动	Microsoft Windows
MS09-064	License Logging Server 中的漏洞可能允许远程执行代码 (974783) 此安全更新解决 Microsoft Windows 2000 中的一个秘密报告的漏洞。如果攻击者向运行 License Logging Server 的计算机发送特制的网络消息，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制系统。采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。	严重远程执行代码	需要重启动	Microsoft Windows
MS09-065	Windows 内核模式驱动程序中的漏洞可能允许远程执行代码 (969947) 此安全更新可解决 Windows 内核中许多秘密报告的漏洞。如果用户查看了以特制 Embedded OpenType (EOT) 字体呈现的内容，这些漏洞最严重时可以允许远程执行代码。在基于 Web 的攻击情形中，攻击者必须拥有一个网站，其中包含用来试图利用此漏洞的特制嵌入字体。另外，接受或宿主用户提供的内容的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。攻击者无法强迫用户访问特制的网站。攻击者必须说服用户访问网站，通常的方式是让用户单击电子邮件或 Instant Messenger 消息中的链接而转到攻击者的网站。	严重远程执行代码	需要重启动	Microsoft Windows
MS09-066	Windows 内核模式驱动程序中的漏洞可能允许远程执行代码 (969947) 此安全更新可解决 Windows 内核中许多秘密报告的漏洞。如果用户查看了以特制 Embedded OpenType (EOT) 字体呈现的内容，这些漏洞最严重时可以允许远程执行代码。在基于 Web 的攻击情形中，攻击者必须拥有一个网站，其中包含用来试图利用此漏洞的特制嵌入字体。另外，接受或宿主用户提供的内容的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。攻击者无法强迫用户访问特制的网站。攻击者必须说服用户访问网站，通常的方式是让用户单击电子邮件或 Instant Messenger 消息中的链接而转到攻击者的网站。	重要拒绝服务	需要重启动	Microsoft Windows
MS09-067	Microsoft Office Excel 中的漏洞可能允许远程执行代码 (972652) 此安全更新可解决 Microsoft Office Excel 中许多秘密报告的漏洞。如果用户打开特制的 Excel 文件，这些漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	重要远程执行代码	可能要求重新启动	Microsoft Office
MS09-068	Microsoft Office Word 中的漏洞可能允许远程执行代码 (976307) 此安全更新解决了一个秘密报告的漏洞，如果用户打开特制 Word 文件，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。	重要远程执行代码	可能要求重新启动	Microsoft Office

相关信息请参考十一月份安全补丁公告摘要：
https://www.microsoft.com/china/technet/security/bulletin/ms09-nov.mspx

请先参考相关资讯了解可能会遇到的已知问题及建议解决方法:

MS09-067: Microsoft 知识库文章 972652 介绍了客户在安装此安全更新时可能遇到的当前已知问题

谢谢！

Richard Chen
大中华区软件安全项目经理