微软完成了它在2009年的最后一次补丁定期更新，发布了大量针对IE的安全补丁，修复了一个严重的zero-day漏洞和浏览器中的其他4个漏洞。

　　微软在12月发布了6个补丁，3个为严重级别，修复了其产品线上的12个漏洞。

　　安全补丁MS09-072拦截了概念证明（proof-of-concept）攻击代码，这一攻击代码是在上个月的某一公众论坛上出现的，它能让攻击者利用某个有漏洞的ActiveX控件来取得对受害者系统的访问权。这种远程代码执行漏洞能够让攻击者绕过IE的安全控制而传播恶意代码。

　　补丁管理厂商Shavlik Technologies的数据和安全小组领导人Jason Miller说，虽然公开的可用攻击代码会带来严重的后果，但目前还未检测到任何相关的主动攻击。

　　Miller 说：“事实上，由IE引发的这一补丁更新比任何其他的补丁更新都要重要，因为世界上排名最靠前的攻击媒介之一就是浏览器。使用有漏洞的浏览器访问恶意网站的话，可能会让病毒或木马侵入你的系统。”

　　有漏洞的ActiveX控件是使用漏洞版活动模板库（ATL）创建的——IBM ISS X-Force的研究人员去年夏季发现其中有大量的错误，这些错误致使大量的浏览器组件易遭受漏洞攻击。微软在七月发布了一次紧急更新，修复了ATL影响的IE和Visual Studio漏洞。

　　补丁还修复了其他四个内存损害漏洞，当IE试图初始化Web页面的对象时将会触发这些漏洞。对IE的所有支持版本（包括最新的版本IE8）而言，这一更新被列为严重级别。MS09-071修复了两个Windows漏洞，这些漏洞能让攻击者彻底控制受害者的机器。内存错误和绕过身份认证漏洞影响到Windows互联网认证服务和受保护的可扩展身份验证协议(PEAP)的执行。针对Windows Server 2008的32位系统和x64系统，这一安全更新被列为严重级别。

　　Microsoft Office Project的漏洞列为了严重级别。MS09-074影响到Microsoft Project 2002 Service Pack 1和Microsoft Office Project 2003 Service Pack 3。这一应用中包含了一个内存验证漏洞，攻击者可利用这一漏洞向受害主机传送恶意项目文件。

　　微软发布了三个重要级别的补丁。MS09-069解决了通过Internet协议安全（IPsec）传输中发生的拒绝服务漏洞。这一漏洞影响到Microsoft Windows 2000、 Windows XP和Windows Server 2003。MS09-070修复了Windows中的一个单点登录欺骗错误和远程代码执行漏洞，针对的是活动目录联合服务（ADFS）处于开启状态的Web服务器。微软说，为展开攻击，用户会需要身份认证。补丁影响到Windows Server 2003、Windows Server 2003和它们的x64版本。MS09-072同样被列为重要级别，它修复了Microsoft WordPad和Office Text Converters中的一个允许远程代码执行的漏洞。

　　Windows 2000系统的域名服务器保护补丁发布

　　微软还重新发布了MS08-037，再次发布的这一补丁针对的是Windows 2000 SP4系统下的域名服务器中的一个大规模漏洞。这一漏洞是大部分域名服务器中广泛存在的基础性错误, Dan Kaminsky在2008年发现了这一漏洞。攻击者能够利用这一漏洞来展开DNS恶意攻击。

　　用户若先前已安装过这一补丁，鉴于这次的修订，微软建议Windows 2000 SP4的用户再次重新安装这一补丁。

　　出台两个公告

　　微软在它的自动更新系统中发布了两个公告。第一个公告称更新了Windows XP和 Windows Server 2003中的Indeo Codec。媒体解码器版本过时了，很少被使用，微软将其淘汰了。微软说这次的更新阻止了Indeo在IE和Windows Media Player上的使用，限制了它带来的安全威胁。

　　第二个公告解释了微软身份认证保护，帮助管理员加固他们的系统来应对中间人攻击。在安全研究和防御博客中，Maarten Van Horenbeeck说，微软更新Windows平台是为保护身份认证证书。该更新发布于八月。这一非安全方面的更新让Windows HTTP服务和IIS Web服务器的用户能使用这一新功能，它能防御一种叫做“证书传递”的攻击。这种攻击技术的原理是，攻击者使用窃取的（与受害者类似的）证书来试图通过第三方服务器的身份认证。