本周二微软发布了两个安全公告，修补了两个会影响所有版本Windows的关键漏洞。同时，微软还更新了一个安全公告，发布了一个临时自动化的解决方案，部署该方案将阻止攻击者利用IE零日漏洞。

目前为止，在一月份微软只发布了两个安全公告，用以修复微软Windows和Windows服务器中的三个漏洞。与去年破纪录发布17个公告的12月份相比，一月份显得很平静。

第一个安全公告解决了微软系统数据访问组件

(Microsoft Data Access Components，一个应用程序开发人员用于访问Windows数据存储的框架)中的两个关键漏洞。这些漏洞可被用于驾车袭击(drive-by attacks)或者诱骗人们去访问一个恶意网页。这次更新的等级对Windows XP，Vista和Windows 7为非常重要，对Windows Server 2003和Windows Server 2008为重要。

此外，微软还解决了一个Windows备份管理器(Windows Backup Manager)中的漏洞。该安全公告会影响Windows Vista的用户，对Windows Vista的等级为重要。该漏洞可能允许远程代码执行，不过微软表示，只有在用户访问一个远程文件系统位置或WebDAV共享，且打开一份Windows备份管理器文件时才会发生。

微软还更新了一个安全公告，解决了IE层叠样式表(CSS)功能中的一个内存错误。微软表示，该内存错误可被攻击者用于远程执行恶意软件。

微软增加了一个自动修复临时补丁，防止CSS样式表的重复加载。微软工程师Kevin Brown在微软安全研究与防御(Microsoft Security Research and Defense)博客中写道，解决方案是一个MSI包，它使用Windows应用程序兼容性工具包对控制IE中加载的CSS的DLL做出小改动。

位于明尼苏达州St. Paul的补丁管理公司——Shavlik Technologies有限责任公司的数据和安全团队领导者Jason Miller，鼓励管理员密切关注可暂时解决漏洞的可行方法。不过他表示，临时修复可能引起IE网页不正确的显示。

“这是一个攻击者经常喜欢利用的漏洞，所以它有一定的风险，”Miller说道，“在你部署解决方案前，你需要测试你的系统可以做些什么。”

用户可以在Windows Vista和Windows 7中使用保护模式，在Windows Server 2003和2008中使用增强型安全配置(Enhanced Security Configuration)。更先进的用户可以使用加强缓解体验工具包(Enhanced Mitigation Experience Toolkit)作为该漏洞的解决方案。

工程师们同时还在努力修复其他几个已知的Microsoft零日漏洞。一个是Windows图形绘制引擎中引起不正确解析BMP缩略图的漏洞。该漏洞会影响除Windows 7和Windows Server 2008 R2外所有版本的Windows。该安全公告包括一个解决方案和一个临时解决该漏洞的自动修复。

其他零日漏洞包括一个IIS 7.0和7.5 FTP服务漏洞，几个其他IE中的内存错误漏洞和WMI管理工具包中的ActiveX控件漏洞。

(责任编辑：)