微软公司的Bill Sisk引导读者阅读该软件巨头2008年4月发布的安全公告。

　　微软已经发布了八个新的安全公告，内容涉及Microsoft Windows、Office和Internet 资源管理器。其中五个公告定级为“严重”，三个公告定级为“重要”。

　　MS08-018：Microsoft Office Project受到一个漏洞的影响，如果用户打开一份残缺的Microsoft Project文件，黑客就可以运行远程代码执行程序。该漏洞仅仅对于运行Office 2000的系统而言是“严重”级别的。对于运行Microsoft Office XP 和 Microsoft Office 2003系统而言，其级别是“重要”。安装Office 2007的系统不会受到影响。

　　MS08-019：Microsoft Visio受到一个漏洞的影响，该漏洞被定级为“重要”的。如果用户打开一份残缺的Microsoft Visio文件，黑客就可以运行远程代码执行程序。正如公告中指出的，对于一些不知道来源的Visio文件，或者意外收到来自你通常信任的地址的Visio文件，最佳的方式就是不要打开或者保存这些Visio文件。MS08-018公告中也需要这种做法。保护你的系统的关键步骤是要尽快申请安全更新。

　　MS08-020：这个公告仅指出了DNS客户机服务中的一种哄骗性漏洞。它不会影响Windows系统中的DNS服务器服务。在这一点上，人们可能会倾向于将所有的服务器系统排除在风险评估标准之外。然而，事实不是这样的。你需要为服务器进行安全更新评估。DNS客户机服务不在服务器系统上运行——具体内容请查看公告。对于公告中列出的产品，这个漏洞被定级为“重要”。然而，该漏洞不会影响到Windows Vista Service Pack 1和Windows Server 2008。

　　MS08-022：这是一个VBScript 和 JScript Scripting Engines中被定级为“严重”的漏洞。如果用户访问黑客特制的网站，该漏洞会允许远程代码执行程序在系统上运行。该漏洞存在于网页中的VBScript和 Jscript的引擎解码脚本中。受到影响的文件是VBScript.dll 以及Jscript.dll 5.1版本和5.6版本。然而，5.7版本文件不会受到影响。Internet Explorer 7系统、Windows Vista系统、和 Windows Server 2008系统自动带有VBScript.dll 5.7版本和JScript.dll 5.7版本。因此，它们也不会受到这个漏洞的影响。

　　此外，下载中心为Windows 2000、Windows XP和 Windows Server 2003提供了5.7版本的VBScript.dll和JScript.dll。这些可下载的版本也不会受到MS08-022中提到的漏洞的影响。如果你已经在你各自的操作系统上安装了任何一种这些版本，就不再需要安装这个安全更新了——因为你的系统不存在漏洞

　　MS08-023：我想要指出的是，这个公告是全新的。也就是说，它指出了ActiveX控件中的漏洞，这不属于Internet Explorer公告的内容。这个公告与Internet Explorer中的漏洞无关。它是仅仅是一个ActiveX的公告。该公告的安全级别是“严重”。然而，仅对于Windows Vista支持的所有版本而言，安全更新被定为“重要”；对于Windows Server 2003系统而言，被定级为“中等”；对于Windows Server 2008支持的所有版本而言，该安全更新被定为“低”。除了所指出的Microsoft ActiveX控件以外，公告中也提到了第三方ActiveX控件。

　　MS08-024：该公告中指出了Internet Explorer中被定级为“严重”的漏洞。处理数据流时，该漏洞会导致远程代码执行程序在系统上运行。尽管这个安全更新被定级为“严重”，公告的工作区内提供了一种可行的权宜之计，来防止HTML邮件攻击携带者。

　　MS08-021：我将MS08-021公告单列出来，不按次序排列，是因为它与MS08-024相似。对于各自公告列表中的所有产品，这两个公告都被定级为“严重”。这些情况下，我要指出它们的重要性来引起你的注意。MS08-021，这个特殊的公告指出了Microsoft Windows图形设备接口界面（GDI） 中的漏洞，这些漏洞影响到了Windows系统支持的所有版本。如果用户打开一份带有.emf 或者 .wmf 的图像的特制文件，该漏洞可以允许远程代码执行程序在系统上运行。请注意公告中工作区的详细内容。

　　MS08-025：最后一个安全更新修补了从用户模式到核心模式传递来的不恰当确认输入。这个安全更新允许特权晋级。特权晋级不能远程实现。黑客必须已经得到授权在本地登陆系统。对于影响到的产品而言，这个更新被定级为“重要”。

　　我想要最后提醒你注意一个事实，即2008年4月发布的公告中指出的所有漏洞均是由大量的安全研究人员揭露的。负责揭露不仅保护了客户，而且也有助于保护大范围的计算生态系统。我们在每条公告中都向具体的研究人员表示了诚挚的认可和衷心的感谢。