微软安全新闻聚焦-双周刊第九期

Biweekly Spotlights ==== 2011．12. 20 – 2012. 1 .9 第 9 期 ==== 微软发布紧急安全补丁 MS11-100 2011 年 12 月 30 日 微软于北京时间2011年12月30日清晨为安全公告2659883中涉及的漏洞发布了紧急安全补丁MS11-100。此次安全补丁最高级别为严重等级，修复了 ASP.NET 中一个公开披露的远程拒绝服务漏洞以及三个可能导致特权提升的漏洞，影响范围涉及目前所有支持周期内的 Windows 上运行的所有受支持的 .NET Framework。利用该公开披露漏洞的攻击目标主要是 Windows + IIS 平台 Web 服务器。需要注意的是，该攻击的原理——哈希表 (Hash Table) 碰撞问题实际上影响到业内的多种 Web 应用平台。目前还没有发现试图利用此漏洞的攻击，但我们建议您尽快测试与部署该补丁，特别是运行 IIS 服务的用户，一定要马上行动起来。 阅读更多信息：ASP.NET security update is live!

Windows 8 将开放图片口令登录 2011 年 12月 16 日

在即将上市的 Windows 8系统中，微软将推出“图片圈划”作为口令登录本地系统的功能补充。图片圈划方式与传统的文本口令、PIN 码、软键盘相比，具备更好的安全性，同时也更个性化、更便于记忆。微软参考实验统计结果，采用了人们最常用的三种图形“点、直线、圆”供用户选择，并存储它们的方向、起止点、先后顺序等作为用户口令。用户无需记忆繁琐的图形形状，也不必在每次输入口令时进行非常精确的图形匹配。此举一方面能够产生足够的密钥空间，预防攻击者猜测口令；另一方面大大加快了用户的输入速度。敬请期待 Windows 8 更加安全、流畅、个性化与人性化的登录功能。  阅读更多信息： Optimizing picture password security

IE 浏览器将开放自动更新 2011 年 12 月 15 日

使用最新版本的浏览器不仅能大幅提高个人用户网页浏览安全，更能为企业和开发者提供更为丰富的网络体验。近日，微软在博客中宣布 IE 浏览器将在 Windows XP/Vista/7平台开放自动升级功能，并计划于2012年1月开始为澳洲和巴西地区用户率先启用自动更新计划。按照计划，微软将通过 Windows Update 为开启了自动更新功能的用户自动推送最新版本IE，并且保证用户浏览器主页、搜索服务提供商、默认浏览器在更新前后保持不变。当然，我们也尊重用户的选择，选择过不升级的个人用户不会被自动升级；企业用户如果有自己的升级计划，而不希望参与到自动升级中，可以应用禁止自动升级的工具包。我们希望更多用户及时更新浏览器版本，以从新版本浏览器增强的安全功能和丰富的浏览体验中受益。 阅读更多信息：旧版软件 忧患重重

警惕恶意软件冒充当地警察勒索钱财 2011 年 12 月 19 日 MMPC 近日发现，一些恶意软件使用本土语言冒充当地警方勒索用户钱财，目前已发现的语言版本包括英语、西班牙语、德语和荷兰语。该恶意软件通过锁定用户计算机，迫使用户为“非法行为”支付“罚款”以获得解锁；但即使用户真的支付了罚款，其计算机也不会得到解锁。MMPC 发现该类软件感染率的地理分布与其使用的语言极为相关。该类软件通过网页挂马 (drive-by-downloads) 的方式传播,并且包含近来特别活跃的 Blackhole Exploit Kit 。提醒用户一定要保证系统不缺失安全更新，使用可信的浏览器并及时安装浏览器补丁，拒绝浏览来源不可靠的网站，以尽可能抵御网页挂马。若不幸受到该类型勒索软件的感染，切勿试图通过“支付罚款”的方式解决问题；可参阅 MMPC 恶意软件百科全书清理特定威胁。