今天，微軟周二發(fā)布了每月補(bǔ)丁更新，修復(fù)了37個(gè)獨(dú)特的常見(jiàn)漏洞和暴露(CVE)，其中26個(gè)影響了微軟的互聯(lián)網(wǎng)瀏覽器。在MS14-051安全公告中修補(bǔ)了IE的25個(gè)CVE。在公告中，微軟指出，25名CVE被私下報(bào)道，而一名CVE此前被公開(kāi)披露。一個(gè)公開(kāi)披露的IE漏洞被確定為CVE-2014-2819。

微軟在其安全公告中警告說(shuō)：“這些漏洞是由Internet Explorer在某些條件下對(duì)權(quán)限的不正確驗(yàn)證造成的，這可能允許腳本以提升的權(quán)限運(yùn)行。”

除了周二8月的補(bǔ)丁更新，微軟還為其可用性指數(shù)創(chuàng)造了一個(gè)新的分?jǐn)?shù)。微軟在2008年首次發(fā)布了可用性指數(shù)，以幫助最終用戶(hù)了解漏洞被利用的可能性。從本月的補(bǔ)丁星期二開(kāi)始，微軟現(xiàn)在增加了一個(gè)新的0級(jí)，已經(jīng)在MS14-051公告中使用。評(píng)級(jí)為0表示檢測(cè)到漏洞。

Tripwire的安全研究經(jīng)理Tyler Reguly告訴eWEEK:“可用性指數(shù)的0評(píng)級(jí)早就該出來(lái)了，這是一個(gè)很大的進(jìn)步?！薄斑@是一個(gè)很好的方法，讓人們快速看到并了解自己今天面臨的風(fēng)險(xiǎn)，而不是閱讀完整的公告來(lái)做出決定?！?

Core安全和政策高級(jí)副總裁Eric Cowperthwaite告訴eWEEK，他喜歡將名稱(chēng)0添加到可用性指數(shù)中。郭伯偉說(shuō)：“微軟已經(jīng)非常明確地指出，目前在野外使用一些東西是非常好的?！薄皊ecurITy團(tuán)隊(duì)、it運(yùn)營(yíng)團(tuán)隊(duì)等。需要密切關(guān)注任何被指定為0的內(nèi)容；這是非常嚴(yán)重的，需要引起重視。”

隨著MS14-051的更新，微軟現(xiàn)在已經(jīng)在IE中啟用了一個(gè)重要的新安全功能。新功能是防止過(guò)時(shí)的ActiveX瀏覽器控件，這可能是用戶(hù)使用的一種潛在方式。在新的IE補(bǔ)丁中啟用這個(gè)功能后，微軟實(shí)際上已經(jīng)30天沒(méi)有屏蔽任何東西了。

微軟的一位發(fā)言人告訴eWEEK:“根據(jù)客戶(hù)的反饋，我們決定等待30天后再阻止任何過(guò)時(shí)的ActiveX控件?！?

發(fā)言人解釋說(shuō)，IE用戶(hù)可以使用新的日志功能來(lái)評(píng)估其環(huán)境中的ActiveX控件，并根據(jù)自己的需要部署組策略來(lái)強(qiáng)制阻止、關(guān)閉特定域的阻止ActiveX控件或完全關(guān)閉該功能。

發(fā)言人表示：“該功能及相關(guān)組策略將于8月12日發(fā)布，但所有過(guò)期的ActiveX控件要到9月9日(周二)才會(huì)被阻止?！?

Qualys首席技術(shù)官Wolfgang Kandek表示，新的ActiveX阻斷技術(shù)將是ie安全領(lǐng)域的積極補(bǔ)充。

坎德克在接受《計(jì)算機(jī)周報(bào)》采訪時(shí)表示：“這是一種輕量級(jí)的、常識(shí)性的機(jī)制，很快得到了緩解。“IE將每12小時(shí)檢查一次文件的新版本，這將使微軟能夠?qū)ΤＲ?jiàn)攻擊提供快速修復(fù)，并將其記錄在文檔中?！?