【TechTarget中国原创】微软周二发布了四个公告，修复IE 7和Exchange严重漏洞以及SQL Server和它的Office Visio图表软件中的漏洞。

　　IE 7和Exchange中的严重漏洞可以被远程利用获取重要文件的访问或者进行拒绝服务攻击。

　　如果用户查看特制的Web页面，IE7 中的两个漏洞可以允许攻击者获得重要文件或者敏感对话数据的访问。微软说，当IE7试图访问已经被删除或者被处理的Cascading Style Sheets (CSS)目标时，浏览器还存在内存崩溃问题。MS09-002更新影响Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008上的IE7。

　　Microsoft Exchange中的远程代码执行漏洞和拒绝服务是在MS09-003中修复的。更新的级别是严重，影响Exchange 2000 Server、Exchange Server 2003和Exchange Server 2007。微软说Exchange处理Rich Text Formatted (RTF)信息的方式中存在错误。要利用这个漏洞，攻击者必须向 Exchange Server上传恶意格式的邮件。

　　补丁管理厂商Qualys Inc.的首席技术官Wolfgang Kandek说漏洞留下了危险捷径，可以被攻击者用于查看邮件、查找数据库服务器或其他文件服务件的其他漏洞，或者执行网络搜索。

　　Kandek说：“我很期待有攻击者马上利用漏洞。”
 
　　Kandek说，和大部分的服务器补丁一样，管理员配置这个补丁很困难。为了配置最新的补丁，管理员必须已经安装了最新的服务包。有些管理员可能决定配置工作区，包括模板化用于实现攻击的附件。

　　微软发布了SQL Server的严重公告，修复在十二月份提出警告的零日漏洞。当时，微软获知攻击代码已经被安全咨询公司SEC Consult Security的Bernhard Mueller公布了。攻击代码的目标是可扩展的存储程序漏洞，允许授权用户提高权限并获取非授权文件的访问。第二种攻击方法可以被非授权攻击者利用，而攻击者必须首先在Web应用漏洞上执行了SQL注入攻击。MS09-004更新影响SQL Server 2000、 SQL Server 2005 Service Pack 2以及Windows 2000和 Windows Server 2003上的Microsoft SQL Server 2000 Desktop Engine (WMSDE)。其他受到影响的还有Windows Server 2003和Windows Server 2008上的Windows Internal Database (WYukon)。

　　Shavlik CTO Eric Schultze说，虽然更新的级别是严重，但是对敏感系统的全面影响是很严重的。Schultze说，这个漏洞已经在最近版本的SQL Server service pack更新中修复了，但是公司推迟配置这个服务包也很不平常。

　　Muller没有获得微软的回应之后，发布了漏洞的攻击代码。Schultze把Mueller发布攻击代码的决定称为不负责任。

　　Schultze说：“他没必要让大家都处于风险中，但是他的做法是强迫微软马上解决问题。”

　　Microsoft Office Visio，软件制造商Visio的表格软件中包含三个周二已修复的漏洞。当打开Visio文件和验证目标数据，Visio包含一个内存确认错误；当复制内存中的目标数据的时候存在内存崩溃错误。MS09-005修复的漏洞可以被成功迫使别人打开包含恶意Visio文件的邮件的攻击者所利用。

　　Schultze说他建议给使用桌面电脑的用户在两个客户端打补丁，并在下一次更新周期中安装这些补丁或者在他们看到安装的时候。他说，服务器维护团队应该金矿配置这两个服务器补丁。