微軟今天發(fā)布了每月的補(bǔ)丁星期二更新，與2月份的情況一樣，Internet Explorer(IE)Web瀏覽器在總數(shù)上也占重要位置。Microsoft在星期三的3月補(bǔ)丁程序更新中修復(fù)了23個(gè)不同的漏洞，涉及五個(gè)安全公告。

在23個(gè)漏洞中，有18個(gè)直接歸因于IE。本月修復(fù)的IE漏洞之一是“修復(fù)”，并考慮升級(jí)到IE 11，該漏洞沒(méi)有受到威脅。

安全專家建議了一些可能的原因，Microsoft尚未在今天之前為CVE-2014-0322安全漏洞提供帶外補(bǔ)丁。

CORE Security的工程主管Ken Pickering對(duì)eWEEK表示： “顯然，任何零日漏洞利用都應(yīng)受到Microsoft的極大關(guān)注。” “鑒于這一事實(shí)，我不確定他們?yōu)槭裁床粸榇税l(fā)布帶外補(bǔ)丁，盡管在更新此補(bǔ)丁之前，可能沒(méi)有為部署做好準(zhǔn)備和充分的測(cè)試。

CORE Security的技術(shù)支持工程師Tommy Chin表示，可能未實(shí)施帶外補(bǔ)丁，因?yàn)镃VE-2014-0322漏洞僅影響具有Adobe Flash的IE10用戶，而不會(huì)影響Microsoft的“增強(qiáng)緩解經(jīng)驗(yàn)工具包”(EMET) 。他補(bǔ)充說(shuō)，即使CVE-2014-0322漏洞利用地址空間布局隨機(jī)化ASLR旁路，也可以通過(guò)IE內(nèi)存泄漏禁用數(shù)據(jù)執(zhí)行保護(hù)，但它只能攻擊很小的攻擊面。

除了CVE-2014-0322漏洞外，IE中還修復(fù)了其他17個(gè)漏洞，所有這些漏洞都是向Microsoft秘密報(bào)告的。

這些漏洞中有六個(gè)是通過(guò)惠普(HP)的零日措施(ZDI)向微軟報(bào)告的，該行動(dòng)為安全研究人員支付了發(fā)現(xiàn)費(fèi)用?；萜湛赡軙?huì)在本周從惠普發(fā)起的Pwn2own瀏覽器黑客大賽中向微軟發(fā)送更多漏洞，在該競(jìng)賽中，惠普將為研究人員成功運(yùn)行Windows 8.1 x64的Microsoft Internet Explorer 11支付10萬(wàn)美元的獎(jiǎng)金。對(duì)于在64位Windows 8.1操作系統(tǒng)上運(yùn)行Microsoft Windows Internet Explorer 11并運(yùn)行增強(qiáng)型緩解體驗(yàn)工具包(EMET)的漏洞，將提供15萬(wàn)美元的獎(jiǎng)金。

銀光

在3月補(bǔ)丁程序星期二更新中，特別值得注意的是，一個(gè)補(bǔ)丁程序會(huì)同時(shí)影響Microsoft和Apple OS X用戶。該MS14-014補(bǔ)丁修復(fù)了微軟的Silverlight媒體技術(shù)一項(xiàng)安全功能繞過(guò)。

微軟可信賴計(jì)算部門(mén)經(jīng)理達(dá)斯汀童車(chē)，在博客中指出后，該Silverlight的缺陷是沒(méi)有受到主動(dòng)攻擊。

Childs說(shuō)：“該更新消除了攻擊者可能用來(lái)繞過(guò)ASLR保護(hù)的途徑。” “像這樣的修補(bǔ)程序增加了攻擊者的利用成本，攻擊者現(xiàn)在必須找到其他方法來(lái)確保其代碼執(zhí)行利用的可靠性。