微软修补了两个严重的漏洞，其一是影响Windows操控ASF和MP3媒体文件的漏洞，另一个是一些可能允许使某黑客使Web和mail服务器过载的TCP/IP处理错误。

　　微软这一软件业巨头发布了5个关键级的更新作为它这一轮的周二补丁定期更新内容。所有这些更新都是可以远程利用的。

　　MS09-047修补了在Windows下操控媒体文件情况下的一个严重漏洞。这一更新提出了Windows Media格式中的两个关键级别的漏洞，这些漏洞可能被黑客发现而用来诱骗用户打开一个恶意ASF或者MP3文件。

　　破解漏洞和使存储瘫痪的漏洞都在Windows Media Format Runtime引擎中。特别是对于Windows Media Format Runtime 9.0, 9.5, 11, Microsoft Media Foundation, Windows Media Services 9.1还有Windows Media Services 2008而言，这一更新级别被定位为关键级。

　　MS09-048指出三个TCP/IP处理漏洞，这些漏洞有可能被攻击者利用来通过网络向具有监听服务的计算机发送特制的 TCP/IP 包，这些漏洞可能允许远程执行代码。虽然多数的客户端没有被影响到，但是许多的使用Windows Vista和Windows Server 2008的Web服务器和mail服务器会有一个易受这一攻击的开放端口。微软说不会为Windows 2000发布补丁。

　　这些漏洞最早出现于2008年，当时在芬兰首都赫尔辛基举行的T2会议上，来自瑞典的漏洞评估公司Outpost24的专家们提出了这些漏洞。Outpost24的首席安全官Robert E. Lee和高级安全研究员Jack Louis警告称这些漏洞很严重并且可能被利用来在任何为远程连接备有TCP监听服务的远程机器上造成拒绝服务和资源消耗。研究员说这一攻击能够在带宽很小的情况下实施，即使通过线缆调制解调器也可以被执行。

　　安全和数据部门的经理Jason Miller在Shavlik Technologies中称TCP/IP更新的提出是这个月中最为重大的事情。Miller说攻击者能够发出恶意的包来抵制TCP/IP监听服务并且通过恶意包传输来使服务器过载。

　　“你可以通过打开防火墙来减少这一情况的发生，但你若是服务器方的话黑客将会把你作为攻击目标，”Miller说道。“黑客能够征服系统，把它冻结起来并且远程执行代码……它将导致网络大范围的瘫痪。”

　　Cisco Systems公司在周二同样发布了一个更新，提出了在Cisco IOS软件中的TCP漏洞。

　　在周二微软还提出了在客户端设置中的其他一些漏洞。

　　MS09-045提出了一个在JScript Scripting引擎中的漏洞，这一漏洞可能会使IE用户在访问恶意网站时遭遇威胁。这一网站可以调用一段恶意脚本进入出错流程从而使黑客能够远程执行代码并且完全控制住系统。微软说这些更新对于Microsoft Windows 2000 Service Pack 4上的JScript 5.1 和所有支持Windows操作系统（Windows 7 和Windows Server 2008 R2除外）平台上的JScript 5.6, JScript 5.7 and JScript 5.8都定位为严重级别。

　　在Qualys的漏洞研究主管Richie Lai提出Windows 7看起来好像对最近的漏洞有一定的免疫力。对于增加在Windows Vista 和Internet Explorer 8之上的改进而言，Windows 7基本上是种新的编码形式，但是专家预言说一旦它被广泛的发布之后又将成为黑客的目标。

　　Lai说道“它可能设有保护程序不允许漏洞攻击的情况发生。”

　　微软还指出了一个在无线局域网AutoConfig 服务中的漏洞可能被黑客利用来全盘操控计算机。MS09-049展示出一种可能被身处机场，咖啡厅或者会议室的黑客所攻击的漏洞，在这些场合下人们会使用膝上型电脑和其他的设备来连接到英特网。微软说AutoConfig 服务没有很好的优先认证无线结构就开始进行处理。

　　黑客将会需要一个发射机来建立起无线入侵点并且在离黑客的最近区域自动连接到膝上型电脑。这一漏洞被定位为Windows Vista上的严重级别和Windows Server 2008上的重要级别。
 
　　微软还指出了一个DHTML编辑组件ActiveX控件中的漏洞，攻击者可以通过构建特制的网页来利用该漏洞。这一漏洞使在用户有系统管理员权限的情况下可能允许黑客完全掌控系统，MS09-046修复了这一漏洞。微软说这一更新不涉及到在上个月提到的微软活动模板库(ATL)中的漏洞。