Windows服務(wù)器管理員將忙于實(shí)現(xiàn)2015年首個(gè)星期二補(bǔ)丁的安全更新，同時(shí)會(huì)注意到一些新的變化。

此次周二補(bǔ)丁日發(fā)布了8個(gè)公告。其中只有一個(gè)為關(guān)鍵補(bǔ)丁，其他七個(gè)是重要補(bǔ)丁。

關(guān)鍵補(bǔ)丁修復(fù)了Windows Telnet服務(wù)中的遠(yuǎn)程代碼執(zhí)行漏洞。如果用戶(hù)打開(kāi)發(fā)送到受感染的Windows服務(wù)器系統(tǒng)的惡意數(shù)據(jù)包，該漏洞將被利用。

微軟表示，盡管被標(biāo)記為關(guān)鍵補(bǔ)丁，使用Telnet的用戶(hù)是唯一受影響的。Telnet在Windows Server 2003中不是默認(rèn)啟用，而且并不是默認(rèn)安裝在Windows Vista或更高版本的操作系統(tǒng)中。

其他重要的安全補(bǔ)丁修復(fù)了微軟服務(wù)中的許多漏洞。

其中一個(gè)重要的修復(fù)是所有Windows版本中的網(wǎng)絡(luò)位置識(shí)別服務(wù)安全漏洞。如果最終用戶(hù)無(wú)意中放松防火墻政策或服務(wù)配置，攻擊者對(duì)最終用戶(hù)網(wǎng)絡(luò)上的LDAP和DNS流量做出欺騙響應(yīng)，從而能輕松利用該漏洞。另一個(gè)安全漏洞修復(fù)是針對(duì)所有受支持的Windows版本中的Windows錯(cuò)誤報(bào)告。

另一個(gè)重要補(bǔ)丁修復(fù)了網(wǎng)絡(luò)策略服務(wù)器（NPS）中的拒絕服務(wù)漏洞和所有Windows Server版本中的互聯(lián)網(wǎng)身份驗(yàn)證服務(wù)（IAS）漏洞。如果攻擊者發(fā)送惡意用戶(hù)名字符串給NPS或IAS，可以阻止NPS或IAS的RADIUS身份驗(yàn)證，從而可以利用該漏洞。

雖然攻擊者不能使用這個(gè)漏洞完全控制服務(wù)器，“但Windows服務(wù)器受攻擊后會(huì)產(chǎn)生嚴(yán)重的影響，”Qualys公司漏洞實(shí)驗(yàn)室經(jīng)理Amol Sarwate說(shuō)。

另外兩個(gè)重要補(bǔ)丁修復(fù)了多個(gè)Windows版本中的Windows組件和Windows內(nèi)核模式驅(qū)動(dòng)程序中存在的權(quán)限提升漏洞。多個(gè)Windows版本的Windows應(yīng)用程序兼容性緩存和所有Windows版本中的Windows用戶(hù)概要文件中存在的權(quán)限提升漏洞也獲得了重要修復(fù)。

本月完整的安全補(bǔ)丁列表和受影響的軟件在微軟的安全TechCenter網(wǎng)站上可以找到。

微軟終止提前通知
這是微軟使用新方法提供補(bǔ)丁周二安全公告的第一個(gè)月。微軟現(xiàn)在使用myBulletins程序?yàn)榭蛻?hù)提供報(bào)告，該報(bào)告可以量身定做以適合個(gè)人或組織的偏好。

“對(duì)于我們來(lái)說(shuō)，這無(wú)疑是個(gè)壞消息，”Kandek說(shuō)，“Qualys作為一家公司，我們認(rèn)為微軟應(yīng)該繼續(xù)提前通知。”

Kandek還指出，用戶(hù)的工作負(fù)載會(huì)根據(jù)微軟的提前通知制定安排。他說(shuō)：“應(yīng)該加大透明度，所以，微軟的做法我認(rèn)為是錯(cuò)誤的決定。”

微軟則表示，用戶(hù)的習(xí)慣改變是其終止提前安全通知的主要原因。提前安全通知只針對(duì)參與微軟安全項(xiàng)目的客戶(hù)或者重要類(lèi)別的客戶(hù)。