Microsoft 安全公告摘要(2012 年 1 月) | Microsoft Docs

颁布工夫: 2012年1月10日 | 更新的书信工夫: 2012年1月27日

版本:

本公告摘要列出了 2012 年 1 每月保安的公告。

倾向于 2012 年 1 每月保安的公告,本公告摘要顶替 2012 年 1 月 5 当天第有一天收回的预告。提早留心检修的详细书信,请参阅 Microsoft 保安的留心书提早留心。

关系到在 Microsoft 保安的公告颁布时若何收到不自觉动作留心的书信,请进入 Microsoft 技术保安的留心书。

Microsoft 将在 2012 年 1 月 11 日午前 11 使联播播送(美国和加拿大太半洋工夫),答复客户顾虑这些留心的成绩。。马上归还经登记借出的东西使用 1 每月保安的公告使联播播送。在此日期后来,同样地使联播播送是按销路出价的。。关系到详细书信,请参阅 Microsoft 保安的公告摘要和使联播播送。

Microsoft 它还将出价相关性书信。,扶助客户对每月保安的更新的书信和与每月保安的更新的书信同日颁布的不拘哪个非保安的更新的书信停止下层的排序。请参阅另外书信把正式送入精神病院。

公告书信

摘要

下表总结了本月的保安的公告(由SE排序)。

关系到受压紧的软件的详细书信,请参阅下一节。受压紧的软件及其下载地方”。

MS12-004 Windows Media 口令切中要害孔能够容许远程的器械口令。 (2636391)

同样地保安的更新的书信可以被处置。 Microsoft Windows 分类走漏切中要害两个孔。以防用户翻开特别的媒体论文,这些孔能够容许远程的器械口令。。攻击者成运用这些孔可以腰槽同上的美国。that的复数报告被排列为把持较不要紧的零碎用户许可的用户比具有办理用户许可的用户受到的压紧要小。

庄重的
远程的器械口令
要件重新开始 Microsoft Windows
MS12-001 Windows 内核切中要害孔能够容许使变换保安的功用。 (2644615)

同样地保安的更新的书信可以被处置。 Microsoft Windows 机密走漏切中要害孔。此孔能够容许攻击者在软件敷用中使变换。 SafeSEH 保安的功用。当时的,攻击者能够运用另外孔,运用建筑物化与众不寻常的的处置器,运转恣意口令。只用 Microsoft Visual C++ .NET 2003 编制的软件敷用可以运用此孔。。

要紧
保安的功用迂回管道
要件重新开始 Microsoft Windows
MS12-002 Winodws 物体包装顺序口令切中要害孔能够容许远程的器械口令。 (2603381)

同样地保安的更新的书信可以被处置。 Microsoft Windows 机密走漏切中要害孔。以防用户翻开与特制可器械论文坐落于同一的使联播布边下的要件的嵌入的包物体的合法论文,此孔能够容许远程的器械口令。。。成运用此孔的攻击者可以腰槽同上的用户。。攻击者可以他日成立顺序。;反省、更改或截消息;或引起具有完整用户许可的新报告。。that的复数报告被排列为把持较不要紧的零碎用户许可的用户比具有办理用户许可的用户受到的压紧要小。

要紧
远程的器械口令
能够要件重新开始。 Microsoft Windows
MS12-003 Windows 客户机/检修器运转时子零碎切中要害孔能够容许特许权T (2646524)

同样地保安的更新的书信可以被处置。 Microsoft Windows 机密走漏切中要害孔。倾向于 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 一切倒退版本,同样地保安的更新的书信的军衔是要紧的。。Windows 7 和 Windows Server 2008 R2 一切倒退版本不受此孔的压紧。

以防攻击者登录受压紧的零碎并运转特制敷用,此孔能够容许特许权托。攻击者随后可完整把持受压紧的零碎并成立顺序;反省、更改或截消息;或引起具有完整用户许可的新报告。等。此孔只在排列有国文、日文或韩文零碎区域设置的零碎上才干被运用。

要紧
特许权托
要件重新开始 Microsoft Windows
MS12-005 Microsoft Windows 口令切中要害孔能够容许远程的器械口令。 (2584146)

同样地保安的更新的书信可以被处置。 Microsoft Windows 机密走漏切中要害孔。以防用户翻开要件的祸心的嵌入式 ClickOnce 敷用的特制 Microsoft Office 论文,此孔能够容许远程的器械口令。。。成运用此孔的攻击者可以腰槽同上的用户。。that的复数报告被排列为把持较不要紧的零碎用户许可的用户比具有办理用户许可的用户受到的压紧要小。

要紧
远程的器械口令
能够要件重新开始。 Microsoft Windows
MS12-006 SSL/TLS 孔能够容许书信泄露 (2643584)

同样地保安的更新的书信可以被处置。 SSL 3.0 和 TLS 1.0 光屁股外观的孔。此孔压紧拟定议定书自己。,绝不假设于 Windows 手术零碎。以防攻击者阻拦受压紧零碎切中要害编口令零碎 Web 信息,该孔能够容许书信走漏。。TLS 1.1、TLS 1.2 无效的 CBC 架构的一切口令包不受压紧。。

要紧
书信泄露
要件重新开始 Microsoft Windows
MS12-007 AntiXSS库孔能够容许书信泄露 (2607664)

同样地保安的更新的书信可以被处置。 Microsoft 防跨使坐落在本子 (AntiXSS) 库机密走漏切中要害孔。以防攻击者运用 AntiXSS 库 转嫁功用将祸心本子发送到网站。,该孔能够容许书信走漏。。外观书信的恶果发动I的品质。。请注意到,攻击者不克不及运用此孔器械口令或直接地器械Enh。,但它可以用来发作更加妥协的书信。。只运用 AntiXSS 图书出租处的整理模块会受到同样地孔的压紧。。

要紧
书信泄露
能够要件重新开始。 Microsoft 开采器与软件

运用演奏者

下表出价了杂多的孔的运用和评价。。这些孔是范围留心颁布的。 ID 和 CVE ID 按顺序排。仅组编公告中庄重的顺序为“庄重的”或“要紧”的孔。

若何运用该表?

运用该表心得倾向于您能够要件成立的每个保安的更新的书信,保安的公告颁布 30 天内发作口令器械和拒绝检修运用的能够性。范围您的假设排列,反省上面的每个评价,由此决定摆设本月更新的书信的下层的次第。关系到这些顺序的感觉于是若何决定这些顺序的详细书信,请参阅 Microsoft 运用演奏者。

在本公告中“受压紧的软件”和“不受压紧的软件”表的上面几列中,“最新发行的软件颁布”是指学科软件,“较旧版本的软件颁布”是指学科软件的一切较旧的受倒退版本。

受压紧的软件和下载地方

下表按次要软件类别和庄重的性的排序列出了公告。

若何运用这些表?

完成这些表可心得能够要件成立的保安的更新的书信。您本应反省列出的每个软件顺序或立法机构。,觉悟可能的选择要件成立不拘哪个保安的更新的书信。。以防列出了软件顺序或立法机构,便于使用的的软件更新的书信将与超链接耦合。,软件更新的书信的庄重的顺序也会被列出。

注意到 您能够要件的为古怪的孔成立两三个保安的更新的书信。反省列出的每个公告识别的整列,检查要件的成立的更新的书信(鉴于零碎上已成立的顺序或立法机构)。

Windows 手术零碎和立法机构

Windows Server 2008 和 Windows Server 2008 R2 的正文

检修器去核成立受到压紧。此更新的书信遵从的 Windows Server 2008 或 Windows Server 2008 R2 的受倒退版本,庄重的顺序同上,不拘可能的选择运用“检修器去核”成立选择能力停止了成立。关系到成立选择能力的详细书信,请参阅 TechNet 文字办理检修器去核成立和检修检修器去核成立。注意到,检修器去核成立选择能力不使用。 Windows Server 2008 和 Windows Server 2008 R2 少量地版本;反省比力检修器去核成立选择能力。。

检修器去核成立不受压紧。。以防成立了检修器去核成立选择能力,如上所述 Windows Server 2008 或 Windows Server 2008 R2,此更新的书信处置的孔不克压紧其倒退的版本。。关系到成立选择能力的详细书信,请参阅 TechNet 文字办理检修器去核成立和检修检修器去核成立。注意到,检修器去核成立选择能力不使用。 Windows Server 2008 和 Windows Server 2008 R2 少量地版本;反省比力检修器去核成立选择能力。。

MS12-004 的正文

[1]Windows Vista 的 Windows Media Center TV Pack 作为可选立法机构,仅在 Windows Vista 的 Home Premium 和 Ultimate 原始安装厂主版本 (贴牌) 成立中便于使用的。成立同样地可选立法机构的客户本应成立它。 Windows Vista 遵从的版本的一切更新的书信。控制冠理论,Microsoft 提议先成立手术零碎更新的书信。 (KB2598479 和 KB2631813),当时的再次成立。 Windows Media Center TV Pack 更新的书信 (KB2628642)。

Microsoft 开采器与软件

MS12-007 的正文

[1]此下载将抵达 Microsoft 防跨使坐落在本子 (AntiXSS) 图书出租处晋级到更新的书信、无孔版本。

[2]此更新的书信只从 Microsoft 下载向心性下载。

检测和摆设器和路标

保安的向心性

办理要件摆设到布局切中要害检修器。、桌面和行动数纸机的软件和保安的更新的书信。关系到详细书信,请参阅 TechNet 更新的书信办理向心性。TechNet 保安的向心性出价了关系到 Microsoft 另外关系到引起保安的的书信。家伙可以进入家常的保安的,您还可以完成单击最新的保安的更新的书信来进入此书信。。

保安的更新的书信可以因为 Microsoft Update 和 Windows Update 学到。Microsoft 下载向心性还出价保安的更新的书信。。完成输出用铰链连接词保安的查找少量地更新的书信与众不寻常的的出恭。。

倾向于 Microsoft Office for Mac 的客户,Microsoft AutoUpdate for Mac 扶助创造 Microsoft 软件校正的书信。。相关性目的 Microsoft AutoUpdate for Mac 的详细书信,请参阅不自觉动作反省软件更新的书信。。

鞋楦,可以因为 Microsoft Update 布边下载保安的更新的书信。Microsoft Update 布边出价完成 Windows Update 和 Microsoft Update 出价满足的可搜索布边,组编保安的更新的书信、驱动顺序和 Service Pack。运用保安的公告号搜索(譬如,MS07036),您可以添加一切使用的更新的书信到您的篮子(组编一个人不寻常的的UPD),当时的下载到你选择的论文夹。。关系到 Microsoft Update 布边的详细书信,请参阅 Microsoft Update 布边常见成绩。

检测和摆设路标

Microsoft 出价保安的更新的书信的检测和摆设路标。该路标组编可扶助 IT 专业人士心得若何运用杂多的器检测和摆设保安的更新的书信的提议和书信。关系到详细书信,请参阅 Microsoft 知识库文字 961747。

Microsoft Baseline Security Analyzer

办理员可运用 Microsoft Baseline Security Analyzer (MBA),扫描垂下的保安的更新的书信和公共保安的排列不舒服。关系到 MBSA 的详细书信,请进入 Microsoft Baseline Security Analyzer。

Windows Server Update Services

完成运用 Windows Server Update Services (WSUS),办理员可以彻底地塌实 Microsoft Windows 2000 手术零碎和高高的版本、Office XP 和高高的版本、Exchange Server 2003 于是 SQL Server 2000 的最新用铰链连接更新的书信和保安的更新的书信摆设到 Microsoft Windows 2000 于是高高的版本的手术零碎。。

顾虑若何运用 Windows Server Update Services 摆设关系到此保安的更新的书信的详细书信,请进入 Windows Server Update Services。

System Center Configuration Manager 2007

Configuration Manager 2007 软件更新的书信办理理想化了EN的出价和办理 IT 零碎更新的书信的复杂分配。完成 Configuration Manager 2007,IT 办理员可以组编桌面。、箱形背包数纸机、出价了组编检修器和行动安装在内的杂多的安装。 Microsoft 引起更新的书信。

Configuration Manager 2007 切中要害不自觉动作孔评价见要件范围提议的手术停止更新的书信和走漏。Configuration Manager 2007 切中要害软件更新的书信办理鉴于 Microsoft Windows Software Update Services (WSUS) 安排,它是全程的的。 IT 办理人员熟识的完成工夫受测验的更新的书信根底设施。若何运用办理员 Configuration Manager 2007 摆设更新的书信一项,请参阅软件更新的书信办理。。关系到 Configuration Manager 的详细书信,请进入 System Center Configuration Manager。

Systems Management Server 2003

Microsoft Systems Management Server (SMS) 出价了一个人用于办理更新的书信且可高价地排列的职业处置规划。完成运用 SMS,办理员可以决定要件保安的更新的书信的鉴于 Windows 的零碎,并以可把持的方法成真这些更新的书信摆设。,对终点站用户的使不安最少。。

注意到 System Management Server 2003 自 2010 年 1 月 12 不再倒退主流。引起生活周期详细书信,请进入 Microsoft 技术倒退生活周期。SMS 的下一版本 System Center Configuration Manager 2007 现已便于使用的;请参阅后面的把正式送入精神病院 System Center Configuration Manager 2007

若何运用办理员 SMS 2003 摆设保安的更新的书信的详细书信,请参阅 Microsoft Systems Management Server 2003 规划与滔滔不绝: 软件豁免与补丁办理。关系到 SMS 的书信,请进入 Microsoft Systems Management Server TechCenter。

注意到: SMS 运用 Microsoft Baseline Security Analyzer 为保安的公告更新的书信检测和摆设出价普遍的倒退。这些器能够无法检测到若干软件更新的书信。。在这些境况下,办理员可以运用 SMS 库存功用将被更新的书信到假设的零碎。。顾虑同样地行动方向的详细书信,请会诊运用 SMS 软件豁免功用摆设软件更新的书信。若干保安的更新的书信能够要件重新开始后的办理特许权。。办理员可以运用晋级快速行进摆设器。 SMS 2003 在办理功用包中成立这些更新的书信。

更新的书信通用性评价顺序和敷用药通用性器

此更新的书信通常研究同上的论文和记录簿设置。。这会发射或使爆炸不相容的,职业更多的工夫停止保安的更新的书信。。完成运用appli中组编的更新的书信通用性评价立法机构,您可以理想化对已成立顺序的受测验和确认。 Windows 更新的书信。

敷用通用性器包 (ACT) 组编要件的器和论文。,同样你就可以摆设在你的周围的中。 Microsoft Windows Vista、Windows Update、Microsoft Security Update 或新发行 Windows Internet Explorer 评价和安心敷用药前的通用性成绩。

另外书信

Microsoft Windows 祸心软件截器

Microsoft 已在 Windows Update、Microsoft Update、Windows Server Update Services 下载向心性。 Microsoft Windows 祸心软件移除器的更新的书信版本。

MU、WU 和 WSUS 非保安的更新的书信

关系到 Windows Update 和 Microsoft Update 顾虑非保安的颁布的书信,请参阅:

Microsoft Active Protections Program (MAPP)

向前推客户保安的辩护,Microsoft 孔书信将出价给次要保安的软件供应国。当时的,保安的软件供应国可以运用该孔书信完成其保安的软件或许安装向客户出价更新的书信的辩护,譬如,防病毒。、鉴于使联播的入侵检测零碎或鉴于主人的入侵谋划抵御。确保您可以从保安的软件PR学到参加竞选辩护,请进入使受协议条款的约束合作伙伴。 Microsoft Active Protections Program (MAPP) 合作伙伴出价的参加竞选清单。

保安的谋略与社区

更新的书信办理谋略

更新的书信办理,出价保安的直截了当地 Microsoft 关系到敷用药保安的更新的书信的冠提议的另外书信。

获取另外保安的更新的书信

您可以从上面学到另外保安的成绩的更新的书信。:

IT 专业保安的区域社会团体

考虑若何向前推保安的性和最使尽可能有效。 IT 根底建筑物,并在 IT 专业保安的社区的保安的学科及另外 IT 专业议论。

道谢

Microsoft 谢谢以下人士或布局累积而成咱们的辩护:

倒退

  • 受压紧的软件已完成受测验。,决定受压紧的版本。倒退生活周期的另外版本曾经完毕。。决定软件版本的技术倒退生活周期,请进入 Microsoft 技术倒退生活周期。
  • 在美国和加拿大的客户可以腰槽保安的倒退。 1-866-PCSAFETY (1-866-727-2338) 学到技术倒退。与保安的更新的书信相关性的电话机倒退检修是收费的。。关系到便于使用的倒退选择能力的详细书信,请参阅 Microsoft 扶助和倒退网站。
  • 因为另外国家(或地域)的用户能够因为本地域。 Microsoft 子公司学到倒退。与保安的更新的书信相关性的倒退检修不募集不拘哪个费。。论若何倒退成绩 Microsoft 触觉接的详细书信,请进入国际帮助和倒退。。

免责规定

Microsoft 知识库切中要害书信是按买方收到的卖方寄来的样本出价的。,无不拘哪个电视节目的总安排的保证书。。Microsoft 无迅速的或默示保证书。,组编畅销性和假设目的的保证书。Microsoft Corporation 或其供应国不形成不拘哪个伤害(组编直接地)、间接得来的的、间或的、总会发生的的伤害,营业汇成花费的钱,或特别伤害)承当不拘哪个过失,平均的 Microsoft Corporation 或供应国已人犯知,这种伤害是能够的。。有些州不容许防止或限度局限总会发生的的过失。,例如,上述的限度局限能够不使用。。

修改版本

  • (2012 年 1 月 10 日): 已颁布公告摘要。
  • (2012 年 1 月 11 日): 倾向于 MS12-003,修正了 CVE-2012-0005 的“运用演奏者运用中最新软件版本的评价。倾向于 MS12-007,作出了颁布发表留心的修改。。关系到详细书信,请参阅 MS12-007 公告。
  • V(2012 年 1 月 27 日): 倾向于 MS12-004,对着干 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 一切倒退版本修正了 KB2631813 更新的书信包的并联庄重的军衔。关系到详细书信,请参阅 MS12-004 公告。

Built at 2014-04-18T01:50:00Z-07:00

发表评论

电子邮件地址不会被公开。 必填项已用*标注