微軟今天發(fā)布了每月的補丁星期二更新，與2月份的情況一樣，Internet Explorer(IE)Web瀏覽器在總數上也占重要位置。Microsoft在星期三的3月補丁程序更新中修復了23個(gè)不同的漏洞，涉及五個(gè)安全公告。

在23個(gè)漏洞中，有18個(gè)直接歸因于IE。本月修復的IE漏洞之一是“修復”，并考慮升級到IE 11，該漏洞沒(méi)有受到威脅。

安全專(zhuān)家建議了一些可能的原因，Microsoft尚未在今天之前為CVE-2014-0322安全漏洞提供帶外補丁。

CORE Security的工程主管Ken Pickering對eWEEK表示： “顯然，任何零日漏洞利用都應受到Microsoft的極大關(guān)注。” “鑒于這一事實(shí)，我不確定他們?yōu)槭裁床粸榇税l(fā)布帶外補丁，盡管在更新此補丁之前，可能沒(méi)有為部署做好準備和充分的測試。

CORE Security的技術(shù)支持工程師Tommy Chin表示，可能未實(shí)施帶外補丁，因為CVE-2014-0322漏洞僅影響具有Adobe Flash的IE10用戶(hù)，而不會(huì )影響Microsoft的“增強緩解經(jīng)驗工具包”(EMET) 。他補充說(shuō)，即使CVE-2014-0322漏洞利用地址空間布局隨機化ASLR旁路，也可以通過(guò)IE內存泄漏禁用數據執行保護，但它只能攻擊很小的攻擊面。

除了CVE-2014-0322漏洞外，IE中還修復了其他17個(gè)漏洞，所有這些漏洞都是向Microsoft秘密報告的。

這些漏洞中有六個(gè)是通過(guò)惠普(HP)的零日措施(ZDI)向微軟報告的，該行動(dòng)為安全研究人員支付了發(fā)現費用?；萜湛赡軙?huì )在本周從惠普發(fā)起的Pwn2own瀏覽器黑客大賽中向微軟發(fā)送更多漏洞，在該競賽中，惠普將為研究人員成功運行Windows 8.1 x64的Microsoft Internet Explorer 11支付10萬(wàn)美元的獎金。對于在64位Windows 8.1操作系統上運行Microsoft Windows Internet Explorer 11并運行增強型緩解體驗工具包(EMET)的漏洞，將提供15萬(wàn)美元的獎金。

銀光

在3月補丁程序星期二更新中，特別值得注意的是，一個(gè)補丁程序會(huì )同時(shí)影響Microsoft和Apple OS X用戶(hù)。該MS14-014補丁修復了微軟的Silverlight媒體技術(shù)一項安全功能繞過(guò)。

微軟可信賴(lài)計算部門(mén)經(jīng)理達斯汀童車(chē)，在博客中指出后，該Silverlight的缺陷是沒(méi)有受到主動(dòng)攻擊。

Childs說(shuō)：“該更新消除了攻擊者可能用來(lái)繞過(guò)ASLR保護的途徑。” “像這樣的修補程序增加了攻擊者的利用成本，攻擊者現在必須找到其他方法來(lái)確保其代碼執行利用的可靠性。