微軟公司（Micros of t Corp.）周二發(fā)布了七份安全公告，修補(bǔ)了Windows、InternetExplorer、Windows MediaPlayer和操作系統(tǒng)其他部分的11個漏洞。微軟證實(shí)，其中兩個漏洞目前正在被攻擊者利用。

在七個更新中，有三個被評為關(guān)鍵級別——微軟使用的排名最高——而其他四個被標(biāo)記為重要，是該公司四步計分系統(tǒng)中第二高的類別。

一對安全專家于本周二表示，這三份關(guān)鍵公告將修復(fù)DirectX（Windows Media Player和InternetExplorer中使用的Windows Media Format運(yùn)行時）的七個不同缺陷。nCircle Inc.的安全運(yùn)營主管安德魯？斯托姆斯（Andrew Storms）表示：“這些都是最糟糕的客戶端漏洞。“顯然，攻擊者已經(jīng)從發(fā)送惡意軟件轉(zhuǎn)向駕車攻擊，”Storms補(bǔ)充道。

Qualys Inc.脆弱性實(shí)驗(yàn)室的經(jīng)理Amol Sarwate在選擇補(bǔ)丁作為第一管理和他的推理時都呼應(yīng)了Storms的觀點(diǎn)?！皹?biāo)記為關(guān)鍵（包括漏洞）的三個公告是我們看到的攻擊者用來攻擊普通桌面用戶的類型，而不是試圖攻擊服務(wù)器。

不過，Sarwate在確定星期二修補(bǔ)的最危險的漏洞時更具體一些：他建議，應(yīng)該首先部署解決IE6和IE7中四個漏洞的公告MS07-069，因?yàn)槠渲幸粋€缺陷已經(jīng)在野外被利用了?！癉HTML零日對修補(bǔ)極為重要，”Sarwate表示。

三個關(guān)鍵更新-MS07-064、MS07-068和MS07-069-分別在DirectX、Windows媒體格式運(yùn)行庫和IE6和IE7中插入漏洞。這些更新所涵蓋的七個漏洞中有六個被認(rèn)為是Windows Vista的關(guān)鍵，微軟一直宣稱這是最安全的。

微軟（Micros of t）表示，MS07-064可以消除DirectX中的一對bug，處理多種流視頻文件格式；黑客可以通過欺騙用戶查看被操縱的流媒體來利用這些漏洞。

“這一點(diǎn)很重要，因?yàn)樵S多應(yīng)用程序——以及Windows本身——都使用DirectX來提供豐富的內(nèi)容，”Storms說，并指出“.wav文件、.avi文件和SAMI（同步可訪問媒體交換）文件都非常受歡迎，并且被大量的網(wǎng)站使用。

他說，MS07-068是“一個幾乎精確的重復(fù)”，因?yàn)樗€涉及文件格式解析錯誤。Windows媒體格式運(yùn)行時，Windows媒體播放器的一部分和Windows其他部分用于顯示內(nèi)容的組件，沒有正確處理高級系統(tǒng)格式（.as f）文件，微軟的專有流媒體文件格式。

IE6/IE7更新，MS07-069，修復(fù)了四個缺陷，這些缺陷對于Windows2000、XP和Vista來說都是至關(guān)重要的，但對于Windows Server2003來說卻是適度的。其中三個是瀏覽器中的內(nèi)存損壞錯誤，而第四個是IE的頁面呈現(xiàn)，其中包括動態(tài)HTML代碼。根據(jù)微軟的說法，利用DHTML漏洞的漏洞已經(jīng)被發(fā)現(xiàn)，使漏洞成為“零天”。

星期二的第二次零日封鎖由MS07-067處理，該系統(tǒng)向參與攻擊一個多月的Macrovision Inc.驅(qū)動程序提供了更新。雖然Macrovision在幾周前發(fā)布了Windows XP和Server2003的替換驅(qū)動程序，但微軟在11月的補(bǔ)丁中沒有包括該驅(qū)動程序的修復(fù)，因?yàn)樗枰嗟臅r間來準(zhǔn)備和測試更新。

在周二的補(bǔ)丁中，還有兩個公告——MS07-063和MS07-066——只影響Windows Vista。這兩個更新都被標(biāo)記為重要而不是關(guān)鍵，盡管微軟承認(rèn)它們可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

“（這些）是相當(dāng)令人討厭的bug，但有足夠的緩解因素將它們從頂層打掉，”Storms表示。他和Sarwate都指出，攻擊者必須具有有效的登錄憑據(jù)，并且必須在本地登錄才能利用MS07-066修補(bǔ)的錯誤，而另一個僅Vista漏洞的影響是有限的，因?yàn)槟J(rèn)情況下不打開服務(wù)器消息塊版本2或SMBv2的受影響部分。

但薩瓦特說，即使微軟自8月份以來發(fā)布的補(bǔ)丁數(shù)量過多，至少也少了一個補(bǔ)丁。“WPAD尚未得到解決，”他在談到微軟8天前確認(rèn)的Web Proxy Auto-Discovery服務(wù)器的一個缺陷時說。

這七個更新可以通過Micros of tUpdate和WindowsUpdate服務(wù)以及Windows ServerUpdate Services（WSUS）下載和安裝。