Udostępnij za pośrednictwem


微软安全新闻聚焦-双周刊第十一期

Biweekly Spotlights

==== 2012.1 . 31 – 2012. 2 . 20  第 11 期 ====


微软二月发布 9 个安全补丁

2012 年 2 月 15 日

clip_image001_thumb1_thumb_thumb_thu

微软于北京时间2月15日清晨发布9个安全补丁,其中4个为最高级别严重等级,其余5个均为重要等级,共修复 Windows、Office、IE 和 .NET/Silverlight 中的21个安全漏洞。请特别优先部署 MS12-010MS12-013。MS12-010 是针对支持周期内的所有版本 IE 浏览器的累积更新,共修复4个漏洞,其中最严重的可导致远程代码执行。MS12-013 修复了 C 运行时库中允许远程代码执行的漏洞。请大家根据补丁严重性程度、利用指数和自身环境综合考量部署。时值微软可信计算(Trustworthy Computing)十周年纪念,MSRC 在博客中与大家一起回顾了微软在安全事件应急响应、安全生态系统、业界合作等方面的历程。

 

阅读更多信息:MSRC looks back at ten years, and the February 2012 bulletins


首届安全开发 (SDL) 年会计划于今年五月召开

2012 年 2 月 1 日

clip_image001_thumb1_thumb_thumb_thu

2012年1月是微软可信计算(Trustworthy Computing)部门创立10周年纪念。微软安全开发生命周期SDL)是该部门对 IT 业界最有代表性的贡献之一。十年来,微软相信 SDL 始终处于一个不断演进的过程,因此在实践中不断精炼和完善 SDL,并将最新版本定期在微软内部发布和实施,以保障自身产品的安全性。微软也对外提供免费的 SDL 资源和工具,如今其下载量已超过85万,覆盖全球150多个区域,让其精髓得到广泛应用。近日,金融服务圆桌会议组织宣布将微软 SDL 中的许多关键元素融入了《BITS 软件安全保证框架》指导方案。微软也计划于今年5月15、16日在华盛顿召开首届安全开发年会。届时,可信计算部门的微软副总裁 Scott Charney 将带领大家与业界各位专家共同探讨安全软件开发要素。敬请关注!

 

阅读更多信息:Simplified Implementation of the Microsoft SDL


IE9 新跟踪保护清单:合作营造更安全网络环境

2012 年 1 月 23 日

clip_image002

随着 数据隐私日 (Jan.28) 的来临,数据保护和隐私问题顺理成章地成为今年慕尼黑数字生活设计 (Digital Life Design) 会议的热门主题。现今通过记录用户浏览历史来挖掘用户隐私的现象已越来越普遍。微软致力于解决这一全球性问题,积极推进相关合作,其成果之一就是 IE9的跟踪保护(Tracking Protection)功能。通过用户设置的 Do Not Track 属性结合跟踪保护清单(Tracking Protection Lists)来防止相关信息被特定偷窥网站跟踪利用。如今微软与多组织合作,IE9 的跟踪保护清单已扩展到由六个不同组织提供的20多份,订阅人数超过250,000

   

阅读更多信息:Tracking Protection

警惕恶意软件假冒微软安全产品行骗

2012 年 1 月 29 日

clip_image001_thumb1_thumb_thumb_thu

近日 MMPC 在博客中指出,一些恶意软件(如 Win32/Defmid)伪装成微软免费安全产品、意图谋取用户钱财的现象有死灰复燃的倾向。此外,一些别有用心者甚至冒充微软技术支持专家打电话“通知”用户其电脑“已受感染”。在此郑重提醒大家:第一,微软安全产品 Microsoft Security EssentialsSafety ScannerWindows Defender 均向所有正版 Windows 用户免费开放,若有不明来源的类似软件向用户索要信用卡信息,请提高警惕;第二,微软从不持续恶意弹窗,但假冒的恶意软件可能通过此方法迫使受害者提供个人信息;第三,微软从不会通过电话通知“病毒受害者”以推销产品,若接到类似电话请不予理睬。

阅读更多信息: Don’t fall for phony phone tech support


网络钓鱼攻击调查

2012 年 2 月 7 日

clip_image001[4]

网络钓鱼(Phishing)是一种引诱网络用户透露敏感信息的盗窃手段。根据微软安全研究报告第11期数据显示,自2010年六月以来,钓鱼网站具有“短期活跃”的特征——攻击者往往频繁使用新钓鱼网站替换旧网站,因此钓鱼网站总量趋稳。此外,钓鱼网站的访问量与活跃的钓鱼网站数量没有直接关联。在攻击目标领域方面,针对金融机构的钓鱼网站数量仍为最多;而针对社交网络的钓鱼网站虽少却有很好的攻击效率;同样存在此现象的还有针对游戏和网络服务的钓鱼攻击。在地理分布方面,大部分钓鱼网站位于较发达地区或工业化国家。伴随着人们对网络的依赖,钓鱼网站仍将长期存在,人们可以通过使用安全的浏览器以及强化自身安全意识等各种方法来降低自身受到钓鱼攻击的风险。

  

阅读更多信息: Security Intelligence Report

感谢您的关注!

下期双周刊发布时间:2012 年 3 月 5 日。敬请期待!

微软大中华区安全团队

Microsoft GCR Security Team