【TechTarget中国原创】在本月的补丁周二公告中，微软修复了IIS Web服务器中的WebDAV安全漏洞。微软一共发布了10个公告，其中六个严重级别的安全补丁修复了31个漏洞。

　　在U.S. Computer Emergency Response Team警告说存在公开的攻击代码和对漏洞的频繁利用后，微软上个月承认了IIS Web服务器漏洞。MS09-020修复IIS WebDAV中的远程认证绕道漏洞。IIS WebDAV是用于向IIS Web服务器发布内容的工具的集合。WebDAV漏洞是Palo Alto Networks的研究人员发现的，由于WebDAV请求上的URL缺少恰当地检查，导致了IIS目录上的绕道。Microsoft IIS versions 5.0-6.0受到了影响。更新的级别是重要。如果成功利用，就可以给攻击者提升权限获取敏感数据的访问。

　　“WebDAV不是所有时间都在使用，但是会被用于进行Outlook Web访问，而且还有其它一些合法使用，但是并不是默认打开的。” 补丁厂商Shavlik Technologies Inc.的首席技术官Eric Schultze说，“零日问题是IT经理所关心的经典问题，所以当补丁发布的时候，有时管理员会尽快配置补丁。”
 
　　修复的还有IE8 中的零日漏洞。这个漏洞被德国一位称为“Nils”的研究人员在三月用于赢得了TippingPoint 赞助的Pwn2own大赛。Nils演示了他可以利用这个漏洞获得对一台电脑的完全控制而赢得了一台Sony笔记本电脑和5000美金。MS09-019修复了IE中的八个漏洞，影响到了Windows 2000、2003、 XP和Vista上的5.01-8版本。如果用户使用IE查看特制的页面，更严重的漏洞可以允许远程代码执行。

　　安全厂商Core Security Technologies的研究人员在2008年十月发现了IE漏洞。安全区域绕过漏洞允许网页的执行行为，例如执行代码，尽管被设定安全区域的安全层禁用了。

　　Core Security 的首席安全官Ivan Arce 说：“在这种状况中，它是前一个漏洞的变形，但是很重要。它的重要性要求快速修复。”

　　微软其它公告：

MS09-018：修复了Microsoft Windows 2000/2003上Active Directory执行中的两个漏洞。远程代码执行漏洞可以在处理恶意LDAP 或LDAPS请求时会导致内存的错误释放。成功利用漏洞的攻击者可以完全控制受影响的远程系统。另一个补丁是安装在 Windows XP Professional 和 Windows Server 2003 上的 Active Directory 应用程序模式 (ADAM)上。

 ?  MS09-021:微软Excel中的七个远程代码执行漏洞可以允许攻击者获得受影响系统的全面控制。要利用漏洞，微软说用户必须打开恶意的包含错误格式的纪录对象的Excel文件。这次更新的级别对于Microsoft Office Excel 2000的所有版本来说都是严重。

?  MS09-022: 微软说Microsoft Windows Print Spooler中的三个缓冲器溢出漏洞在受影响的系统受到特制的RPC请求的时候可以允许指定远程代码。Microsoft Windows 2000中这个更新的级别是严重；Windows XP和Windows Server 2003上是中等；而Windows Vista和Windows Server 2008上是重要。

?  MS09-023:微软修复了Windows Search中的文件查看方式的漏洞。这个公告的级别是重要，如果搜索首次文件返回了特制可以导致信息泄露。漏洞影响Windows XP和Windows Server 2003上的Windows Search 4.0。

?  MS09-024: 修复了Microsoft Works转换器中的严重缓冲器溢出漏洞。如果用户打开了恶意Works文件，这个漏洞可以允许远程代码执行。微软说，如果利用漏洞，攻击者可以获得和本地用户一样的用户权限。

?  MS09-025:修复了Windows kernel中可以允许权限提升到的四个漏洞。三个内核指针错误和桌面内核验证错误可以被远程利用或者被匿名用户在内核模式上运行代码。微软说，这个漏洞不能被远程利用或者匿名用户利用。更新影响到Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008。

?  MS09-026:微软发布了Windows remote procedure call (RPC)设备的另一个更新。据微软所说，RPC Marshalling Engine没有恰当地更新它的内部状况。补丁的级别是重要，影响Microsoft Windows 2000、Windows XP、Windows Server 2003、 Windows Vista和Windows Server 2008。

?  MS09-027: Microsoft Word中的两个缓冲器溢出漏洞可以在用户打开热邪Word文件时，允许远程代码执行。微软说，这个漏洞可以被用于全面控制受影响的系统。更新对于Microsoft Office Word 2000的所有版本来说都是严重。