微软发布了Excel的更新，修复两个严重的远程代码执行漏洞，包括被攻击者频繁利用的零日漏洞。

　　据一些研究公司称，从二月开始，一个叫做Trojan.Mdropper.AC的木马已经被用于发出攻击。这些公司中，赛门铁克第一个在日本发现了攻击。它通过恶意的Excel文件附件传播，这个文件附件使Excel访问有问题的对象，造成内存错误（memory corruption error）。这样，攻击者就可以使用允许应用的用户的权限执行任意代码或者造成Excel的崩溃。MS09-009对于Microsoft Office Excel 2000的用户来说级别是严重。微软把它对其他Excel版本的级别定为重要。

　　这个更新是微软周二发布定期每月补丁更新中的八个安全补丁的其中之一。微软警告说八个公告中的五个都可以被远程利用，级别是严重。

　　WordPad中的零日漏洞是在MS09-010中修复的。Word 97文件中的Wordpad Converter中的漏洞影响Windows 2000 SP4、Windows XP SP2以及Windows Server 2003 SP1和SP2。

　　IE也有更新，修复可以被利用获取系统用户权限的六个漏洞。MS09-014修复混合威胁远程代码执行漏洞，信任状漏洞和严重的内存崩溃错误（memory corruption error）。 这个漏洞可以被用于欺骗用户查看恶意网页。这个更新对于IE 5.01-7版本是严重。IE 8不受更新的影响。

　　周二，补丁专家说微软本月在公告中把几个补丁合在一起了，包括IE中修复的漏洞，它修复了去年由研究员Nitesh Dhanjani 发现的Apple Safari地毯式轰炸攻击。这种攻击使恶意网络可以利用恶意可执行文件把Windows用户的桌面放入回收站。

　　补丁管理厂商Shavlik Technologies Inc的首席技术官Eric Schultze说：“微软的修复把作为上传系统文件的搜索路径的桌面移除了。”

　　Microsoft DirectShow multimedia framework 中的DirectX漏洞也在周二修复了。MS09-011更新级别是严重。这个漏洞可以被用于欺骗用户打开MJPEG文件。更新影响Microsoft Windows 2000、Windows XP和Windows Server 2003中的DirectX 8.1和9。

　　MS09-013修复了Microsoft Windows HTTP Services (WinHTTP)的三个漏洞。这项服务包括一个在处理由远程Web服务器返回的特制的信任状值时的远程代码执行漏洞。钓鱼漏洞可以因不完善的认证而被攻击。更新对于Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008来说是严重。
 
　　微软还修复了很旧的令牌诱骗漏洞。MS09-012，重要级别，在安全研究员Cesar Cerrudo发布了攻击漏洞的概念证明代码后就被攻击了。Cerrudo 是Argeniss Information Security的创始人兼CEO。他曾在去年就这一漏洞警告微软。这个漏洞允许Windows使用的帐户绕过新的Windows服务保护机制，并提升完成对操作系统全面控制的权限。微软在公告后还给用户提供了推荐的工作站。

　　安全和法规审计厂商Network Security Inc的安全操作经理Andrew Storms 说：“对Web应用漏洞和SQL Server漏洞的讨论特别多，我很惊讶它没有被利用。这种攻击可以提升在IIS中编写的代码的权限，而且一旦权限得到了提升，就也可以在服务器端运行应用。”

　　微软说大部分的用户都可以自动下载和安装安全更新。

　　Microsoft Internet Security and Acceleration (ISA) Server和Microsoft Forefront Threat Management Gateway (TMG)zhogn的两个漏洞也被修复了。更新级别是重要，但是如果攻击者向受影响的系统发送特制的网络信息包就可以造成拒绝服务的状况。微软还修复了Windows SearchPath功能中的中等级别的漏洞。

相关阅读：安全补丁管理指南