紧急: 微软发布10个安全补丁 修复3个高危漏洞

微软今天发布了2010年6月份的10个月度安全补丁，共修复了34个安全漏洞。其中最高严重级别有3个，分别修复了Windows和IE的高危漏洞；其余7个位重要级别，主要影响Windows和Office。

1、公告编号：MS10-033

知识库编号：KB979902

摘要：解决Windows中两个未公开报告的文档解压缩中的漏洞，可用来执行远程代码攻击。

此安全性更新可解决Windows中两项未公开报告的漏洞。当使用者开启蓄意制作的压缩文档，或者从网站或任何提供网络内容的应用程式接收蓄意制作的串流内容时，这些漏洞可能会允许远程执行代码。成功利用这类漏洞的攻击者可以取得与本机使用者相同的使用者权限。系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理权限的使用者要小。

最高安全级别：严重

受影响软件：Windows

2、公告编号：MS10-034

知识库编号：KB980195

摘要：ActiveX Kill Bit（删除位元）的累积安全性更新。

此安全性更新可解决两项未公开报告的软件漏洞。对于所有受支持版本的Windows 2000、Windows XP、Windows Vista和Windows 7，此安全性更新的等级为严重；对于所有受支持版本的Windows Server 2003、Windows Server2008 和Windows Server 2008 R2则为重要。

如果使用者使用IE检视蓄意制作而产生特定ActiveX控制项的网页，这些漏洞即可能允许执行远程代码。系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理权限的使用者要小。此更新程序同时也包含四个合作厂商ActiveX控制项的Kill Bit（删除位元）。

最高安全级别：严重

受影响软件：Windows 2000、Windows XP、Windows Vista和Windows 7；Windows Server 2003、Windows Server2008 和Windows Server 2008 R2

3、公告编号：MS10-035

知识库编号：KB982381

摘要：IE的累积安全性更新。

此安全性更新可解决IE中六项未公开报告的漏洞。最严重的漏洞可能会在使用者以IE检视蓄意制作的网页时，允许远程代码执行。系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理权限的使用者要小。

最高安全级别：严重

受影响软件：Windows、IE

4、公告编号：MS10-032

知识库编号：KB979559

摘要：解决Windows核心模式驱动程序的漏洞，这些漏洞可能会允许权限提高

此安全性更新可解决Windows核心模式驱动程式中两项公开揭露的漏洞和一项未公开报告的漏洞。如果使用者检视以蓄意制作的TrueType字型所呈现的内容，则这些漏洞可能会允许权限提高。

最高安全级别：重要

受影响软件：Windows

[NextPage]

5、公告编号：MS10-036

知识库编号：KB983235

摘要：Office中COM验证的漏洞可能会允许远程代码执行

这个安全性更新可解决Office的COM 验证中一项未公开报告的漏洞。如果使用者使用受影响版本的Office开启蓄意制作的Excel、Word、Visio、Publisher或PowerPoint 档案，此漏洞可能会允许远程代码执行。无法通过电子邮件自动攻击此漏洞。使用者必须顺利开启电子邮件中传送的附件，攻击才可进行。

最高安全级别：重要

受影响软件：Office

6、公告编号：MS10-037

知识库编号：KB980218

摘要：OpenType压缩字型格式(CFF)驱动程式中的漏洞可能会允许权限提高

此安全性更新可解决Windows OpenType压缩字型格式(CFF)驱动程式中一项未公开报告的漏洞。如果使用者检视以蓄意制作的CFF字型所呈现的内容，则该漏洞可能会允许权限提高。攻击者必须拥有有效的登入认证，并能够登入本机，才能利用这项漏洞。匿名或远端使用者无法利用这个漏洞。

最高安全级别：重要

受影响软件：Windows

7、公告编号：MS10-038

知识库编号：KB2027452

摘要：Office Excel中的漏洞可能会允许远程代码执行

这个安全性更新可解决Microsoft Office 中14 项未公开报告的漏洞。其中较严重的弱点，可能会在使用者开启蓄意制作的Excel文档时，允许远程代码执行。成功利用这类任一漏洞的攻击者可以取得与本机使用者相同的使用者权限。系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理权限的使用者要小。

最高安全级别：重要

受影响软件：Office

8、公告编号：MS10-039

知识库编号：KB2028554

摘要：SharePoint中的漏洞可能会允许提高权限

这个安全性更新可解决Microsoft SharePoint中一项公开揭露漏洞和两项未公开报告的漏洞。如果攻击者引诱目标SharePoint网站的使用者点选蓄意制作的链接，则其中最严重的漏洞可能会允许权限提高。

最高安全级别：重要

受影响软件：Office

9、公告编号：MS10-040

知识库编号：KB982666

摘要：IIS的漏洞可能会允许远程代码执行

此安全性更新可解决Internet Information Services (IIS)中一项未公开报告的漏洞。如果使用者收到蓄意制作的HTTP 要求，此漏洞可能会允许远程代码执行。成功利用此漏洞的攻击者可以取得受影响系统的完整控制权。

最高安全级别：重要

受影响软件：Windows

10、公告编号：MS10-041

知识库编号：KB981343

摘要：.NET Framework中的漏洞可能会允许窜改

这个安全性更新可解决Microsoft .NET Framework中一项公开揭露的漏洞。此漏洞可能会允许窜改已签署的XML内容，而且不会被侦测到。这对自订应用程式的安全性影响多寡，取决于已签署的内容是如何用于特定的应用程式中。如果已签署的XML讯息是透过安全通道（例如SSL）传输，便不会受到此漏洞影响。

最高安全级别：重要

受影响软件：Windows、.NET Framework