微软发布了八个安全公告，包括六个严重的补丁，修复IE和Microsoft Office中的严重漏洞。攻击者远程利用这些漏洞可以获得访问严重漏洞并控制电脑。

　　如果攻击者跟踪用户察看恶意网页，IE中的四个漏洞就可以被远程利用。微软称，MS08-073修复了IE处理导航方式中的内存越界错误。

　　在Windows 2000上运行的IE 5.01和IE SP1、在Windows XP上运行的IE 6以及在IE 7中这个漏洞的级别是严重。微软在可利用索引（Exploitability Index）中对这个漏洞的评价是1，微软警告说相应的攻击代码可能已经出现了。

　　补丁管理厂商Lumension Security的高级产品管理经理Dee Liebenstein说：“这是一个可以广泛传播的漏洞，应该严肃对待。这是终端用户几乎完全失去控制的漏洞的很好的例证。攻击者所要做的只是把用户导向到恶意网页中。”

　　公告MS08-071修复了微软的图形设备接口(Graphics Device Interface，GDI)中的两个严重漏洞。GDI处理Windows Metafile (WMF)图形文件格式的方式中的错误可以允许攻击者传送恶意MWMF图像文件。微软说以纯文本格式阅读邮件可以减轻这种风险。这个漏洞影响 Windows所支持的各种版本。

　　微软还更新了Vista和Windows 2008中的Windows Search。公告MS08-075修复了允许代码远程执行的两个严重漏洞。微软说，为了进行成功的攻击，攻击者必须更总用户点击恶意URL。微软在公告中说，“然后攻击者就可以安装程序，查看、变更或者删除数据；或者创建全用户权限的新帐户。”Windows XP的Windows Search不受影响。

　　Visual Basic 6.0 Runtime ActiveX Controls的一个更新修复了五个严重漏洞，这些漏洞可以被攻击者远程利用。根据MS08-070，这个漏洞只有在浏览含有恶意代码的时候才会被利用。

　　公告MS08-072和MS08-074修复了Microsoft Office Word和Microsoft Office Outlook中的八个漏洞和Microsoft Office Excel中的三个漏洞。Word补丁修复了Rich Text Format (RTF)文件处理方式中的一个错误。恶意的RFT文件可以允许攻击者完全控制系统。Excel公告修复的Excel漏洞可以允许攻击者安装程序；查看、变更或者删除数据或者创建全用户权限的新帐户。

　　MS08-076修复了Windows Media Player和Windows Media Format Runtime中的两个漏洞，这些漏洞可以允许远程代码的执行。微软说：“成功利用漏洞的攻击者可以完全控制受到影响的系统。”微软给这个公告的级别是重要。

　　补丁管理厂商Shavlik Technologies的CTO Eric Schultze认为这个漏洞应该是严重，尽管微软的级别是重要。Schultze说这个公告和上个月修复服务器信息块漏洞的更新有很大的相关性。

　　Schultze在编报表中说：“微软说Windows Media Player的规则和操作系统使用的规则不相同，造成了在11月发布的补丁没有解决这个问题。如果攻击者了解了如何差ungjian恶意URL，这个问题就会变得很严重。需要立即获得这个补丁。”

　　MS08-077修复了Microsoft Office SharePoint Server中的漏洞。这个公告的级别是严重。它可以允许共计者提升权限并执行管理任务。微软说，攻击者必须通过在SharePoint网站上浏览管理URL绕过认证。

　　Schultze说：“这些任务不允许用户直接访问受保护的信息，他们可能引起服务器停止对合法请求的回应，或者可以向攻击者提供附加信息，例如系统上的用户邮件地址。”

　　建议

　　微软还发布了公告，警告用户影响Windows 2000 SP4、Windows XP SP2以及 Windows Server 2003 SP1和SP2的Word 97文件中的Wordpad Converter。为了利用这个漏洞，攻击者必须跟踪用户打开邮件中的附件。成功的共计可以赋予攻击者和本地用户相同的权限。

　　MSRC（Microsoft Security Response Center）的安全项目经理Christopher Budd说：“我们发现针对这个漏洞的攻击很有限。”

　　在补丁发布前，作为一个工作区，微软推荐通过在某些格式转换文件中采用访问控制列表防御WordPad装载到Word 97文件中。如果采用了工作区，用户就不能再使用WordPad打开或者转换Word 97文件了。