Microsoft 安全通报
Microsoft 承诺,我们将持续改进向用户提供的安全通信。 今天,我们很高兴地宣布新功能 Microsoft 安全通报进入试用阶段,这项功能的目的在于提供与软件更改或软件更新有关的安全方面的指导和信息。 Microsoft 安全通报是对 Microsoft 安全公告的补充,它解决那些可能不需要安全公告但是仍然会影响用户的总体安全的安全更改问题。
Microsoft 安全通报是 Microsoft 与用户就那些可能不归类为漏洞并且可能并不需要安全公告的问题交流安全信息的一种方式。 每个通报将附带一个唯一的知识库文章编号以供参考,提供关于更改的附加信息。 以下是以后的安全通报可能讨论的某些主题示例:
| • | 软件更新,可能提供“纵深防御”安全增强功能或与安全漏洞不相关的更改 |
| • | 可能适用于已公开披露的漏洞的指导和缓解 |
Microsoft 承诺提供及时、说明性的指导,我们鼓励用户提供此试用的反馈意见,以便我们对此功能加以改善。 您可以在通报上的“联系我们”功能中提供反馈意见。
2009 年 6 月
| • | |
| • |
2009 年 5 月
| • | Microsoft 安全通报 (971778): Microsoft DirectShow 中的漏洞可能允许远程执行代码 |
| • |
2009 年 4 月
| • | Microsoft 安全通报 (969136): Microsoft Office PowerPoint 中的漏洞可能允许远程执行代码 |
2009 年 2 月
| • | |
| • | Microsoft 安全通报(968272): Microsoft Office Excel 中的漏洞可能允许远程执行代码 |
| • |
2009 年 1 月
| • |
2008 年 12 月
| • |
2008 年 11 月
| • | |
| • |
2008 年 10 月
| • | |
| • |
2008 年 8 月
| • | |
| • |
2008 年 7 月
| • | |
| • | Microsoft 安全通报 (955179): Microsoft Access Snapshot Viewer 的 ActiveX 控件中的漏洞不允许远程执行代码 |
2008 年 6 月
2008 年 3 月
| • | Microsoft 安全通报 (950627): Microsoft Jet 数据库引擎 (Jet) 中的漏洞可能允许远程执行代码 |
2008 年 1 月
| • | |
| • |
2007 年 12 月
| • |
2007 年 11 月
| • | Microsoft 安全通报 (944653): Windows 上的 Macrovision SECDRV.SYS 驱动程序中的漏洞可能允许特权提升 |
2007 年 10 月
| • |
2007 年 8 月
| • |
2007 年 5 月
| • | |
| • |
2007 年 4 月
| • | Microsoft 安全通报 (935964): Windows DNS 服务器上 RPC 中的漏洞可能允许远程执行代码 |
2007 年 3 月
| • |
2007 年 2 月
| • | |
| • |
2007 年 1 月
| • |
2006 年 12 月
| • |
2006 年 11 月
| • | |
| • | |
| • |
2006 年 10 月
| • | Microsoft 安全通报 (917021): Windows XP Service Pack 2 中无线组策略 Wi-Fi 保护访问 2 支持的描述 |
| • | |
| • |
2006 年 9 月
| • | |
| • | Microsoft 安全通报 (925444): Adobe 安全公告: Microsoft DirectAnimation Path ActiveX 控件中的漏洞可能允许远程执行控件 |
| • | Microsoft 安全通报 (925143): Adobe 安全公告: 用于消除安全漏洞的 APSB06-11 Flash Player 更新 |
| • | |
| • |
2006 年 8 月
| • | Microsoft 安全通报 (923762): 指向使用 HTTP 1.1 的站点的长 URL 和压缩可能导致 Internet Explorer 6 Service Pack 1 意外退出 |
| • |
2006 年 7 月
| • |
2006 年 6 月
| • | Microsoft 安全通报 (921923): 影响 Remote Access Connection Manager 服务的已发布概念证明代码 |
| • | |
| • |
2006 年 5 月
| • |
2006 年 3 月
| • | |
| • | Microsoft 安全通报 (916208): Adobe 安全公告: 用于消除安全漏洞的 APSB06-03 Flash Player 更新 |
| • |
2006 年 2 月
| • | |
| • |
2006 年 1 月
| • | Microsoft 安全通报 (904420): Win32/Mywife.E@mm Microsoft 安全通报 (912920): 受 Win32/Sober.Z@mm 感染的系统可能自 2006 年 1 月 6 日开始从某些 Web 域下载并运行恶意文件 |
2005 年 11 月
| • | Microsoft 安全通报 (911302): Internet Explorer 处理 onLoad 事件的方式中的漏洞可能允许远程执行代码 Microsoft 安全通报 (911052):通过 RPC 内存分配拒绝服务 Microsoft 安全通报 (910550): Macromedia 安全公告: MPSB05-07 Flash Player 7 不正确的内存访问漏洞 |
2005 年 10 月
| • | Microsoft 安全通报 (909444): 在没有默认文件权限的系统上安装 Microsoft 安全公告 MS05-051 之后出现各种问题 |
2005 年 8 月
| • | Microsoft 安全通报 (906267): COM 对象 (Msdds.dll) 可能导致 Internet Explorer 意外退出 |
| • | |
| • |
2005 年 7 月
| • | |
| • | Microsoft 安全通报 (903144): COM 对象 (Javaprxy.dll) 可能导致 Internet Explorer 意外退出 |
2005 年 6 月
| • | Microsoft 安全通报 (891861): Windows 2000 Service Pack 4 (SP4) 更新汇总1 发布 |
| • |
2005 年 5 月
| • | |
| • | 安全通报 (892313):Windows Media Player 数字权利管理规定中的默认设置可能允许用户没有请求权限即可打开网页 |
| • | 安全通报 (842851):为 Windows Server 2003 Service Pack 1 中的 Exchange Server 2003 提供的 tar pit 功能的阐述 |
常见问题解答
安全通报包含哪种信息?
安全通报包含最高级的摘要信息,详细描述发布通报的原因、常见问题解答和建议措施。 通报发布之后,可以根据需要进行修订,以反映新信息或指导。
Microsoft 用于确定是否需要安全通报的特定标准是什么?
Microsoft 借此试用机会获取关于安全通报的反馈意见,并利用那些反馈意见来确定通报对于用户发挥最大价值的方式。 我们的目标是综合这些反馈意见,进一步确定用户需要安全通报的频率以及通报最有价值的时机。
安全通报与安全公告有何区别?
Microsoft 安全公告提供用于消除 Microsoft 产品中的漏洞的更新的信息和指导。 伴随着每个发布的安全公告,均会提供适用于受影响产品的相关软件更新。 Microsoft 安全通报旨在向用户提供可能与软件更新并无特定关联的各种安全相关问题的详细信息和指导。 例如,某通报可能详述为 Microsoft 软件提供的更新,该更新可能无法消除软件中的安全漏洞,但是可能导致产品的行为发生变化或者引入帮助用户抵御攻击的新功能。
安全通报是否可能成为安全公告?
当我们发布安全通报以提供关于已公开披露的漏洞的指导时,一旦开发了某更新来消除该软件漏洞,我们可能会更新安全通报,以反映安全公告的可用性,并引导用户获得该安全公告的详细信息。
是否每个安全通报都将成为安全公告?
否。 当发布安全更新以消除安全通报中所述的漏洞时,可以对通报进行更新以指向安全公告。
此功能可供用户使用多长时间?
我们的目标是,当用户受安全问题影响时根据需要发布安全通报。 当前的试用实施旨在从用户处收集此新功能的反馈意见,综合反馈意见以使通报对用户更有用,并没有设置时限。
打算为一般 Internet 安全主题发布安全通报,还是仅发布关于 Microsoft 产品的安全通报?
我们当前正在评估通报的范围,然而最高目标是向用户及时地提供信息,以帮助保护用户避免任何可能影响他们的安全问题。 但是,Microsoft 当前不会发布第三方产品的安全通报,如果安全事件或问题影响与特定 Microsoft 产品不相关的用户,那么我们可能发布一个通报。
安全通报发布之后多长时间更新一次?
只要我们拥有可以帮助用户避免安全威胁的新信息,就可能对安全通报进行更新。 在安全更新的早期阶段,随着我们的调查持续不断并提供附加指导,安全通报可能经过多次修订。 如果安全通报导致出现安全公告,则该通报可能会进行更新以反映公告的可用性及其相关更新。
何时可以获得变通办法信息?
我们承诺对安全通报中详细介绍的安全问题提供及时且权威性的指导。 随着每个调查持续进行,我们的工程小组会对变通办法和缓解信息进行详细说明和测试。 此过程必须注重质量,因此要对提供的变通办法或缓解措施进行测试,并记录变更的影响。 当我们验证变通办法和其影响之后,在发布之前或发布之后就会将其增加到通报中,这具体取决于用户需求。
用户是否能够注册接收新安全通报的电子邮件或 RSS 通知?
该试用功能实际上是收集关于安全通报反馈意见的机会,因此我们不会立即提供电子邮件或 RSS 通知。 随着持续将反馈意见融入此功能,我们将检查这些选项是否可用。
公众报告之后,多长时间内我们可以看到通报?
安全通报旨在向所有 Microsoft 用户提供及时信息。 因此,当我们得知问题并认为最好使用通报进行传达时,我们会在一个工作日内提供安全通报。
安全通报以哪些语言提供?
安全通报以当前安全公告支持的所有语言提供。 但是,为了快速发布通报,通报的本地化版本可能不会与英文版同时发布。
你们是否打算为安全更新的已报告问题发布安全通报?
提供安全更新的适当安全公告中引用的 Microsoft 知识库文章将继续记录安全更新的注意事项或问题。
安全通报是否像安全公告那样评定严重等级?
试用计划中的安全通报不会指定严重等级,因为它们可能不解决安全漏洞,或者发布是为了通告这样一种情况:感觉像是安全威胁,但实际上是一个恶作剧。 如果发布的安全通报提供了关于已公开披露的漏洞的指导,那么随后发布的安全公告可能包含该漏洞的严重等级。
预先通知中为什么不包括关于安全通报的信息?
我们的目标是,在用户得知事件或问题后受到安全问题影响时根据需要发布安全通报。 因此,可能不一定能够通过 ANP 发出提前通知。
用户如何知道何时需要采取与这些安全通报相关的措施?
每个通报均包含“建议措施”部分,详细描述用户为了帮助自我保护而必须采取的措施。
更多信息
保护您的 PC:Microsoft 在以下位置提供了关于如何帮助保护 PC 的信息:
| • | 最终用户可以访问保护您的 PC 网站。 |
| • | IT 专业人士可以访问安全指南中心网站。 |
| • | Microsoft TechNet Security 网站提供了有关 Microsoft 产品安全的详细信息。 |
支持:
| • | 美国和加拿大的用户可以从 Microsoft 产品支持服务获得技术支持。 有关可用支持选项的详细信息,请参见 Microsoft 帮助和支持网站。 |
| • | 其他国家(或地区)的客户可从当地的 Microsoft 分公司获得支持。 有关如何就国际支持问题与 Microsoft 取得联系方面的详细信息,请访问国际支持网站。 |
免责声明:
本文档中提供的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。