微软已发布7个安全公告，包括1个“严重（危机）”级别的公告，它修补了一个严重的Windows Media Player缺陷，该缺陷可被用在危险的路过式（drive-by）web站点攻击中。

　　微软在2012年1月的补丁星期二中共修补了8个漏洞。该更新还解决了已被公共曝光的SSL/TLS实现漏洞。该SSL/TLS协议弱点能让攻击者使用SSL3.0和TLS1.0版本协议拦截加密的Web服务器流量。

　　Windows Media缺陷影响Windows Media Player、Microsoft Windows Media库以及微软的 DirectShow组件。微软在它的MS12-04安全公告中表示，该应用程序接口（API）设计用来在Windows中启用流媒体。

　　攻击者通过诱使人们用Windows Media Player运行一个恶意的MIDI文件来利用该缺陷。微软表示，该漏洞可能用在路过式攻击中，或者是通过即时消息或作为邮件附件来发送。任何恶意的媒体文件可能被用来利用该DirectShow错误，在DirectShow解析媒体文件的方式中存在的弱点，但是用户不得不禁用字幕启用选项。该更新文件适用于所有支持的Windows版本，包括Windows 7。该缺陷对Windows XP、Vista、Windows Server 2003及2008的用户们来说为“严重”级别。

　　位于加利福尼亚红木海岸的漏洞管理厂商Qualys公司的CTO Wolfgang Kandek表示，应该给与该Windows Media Player中的MIDI缺陷最高的优先级，因为该缺陷除了作为邮件附件外可被攻击者用在路过式攻击中。

　　“无需用户打开文件或是安装解码器，该MIDI文件即可独自播放，所以它可能是特别严重的漏洞”，Kandek说道。“我认为除了关闭字幕显示外，在这些媒体播放器中还有很多人们必须弄明白的事情，尽管所有这些功能都非常棒，但是它们也为攻击者打开了另一扇门”。

　　SSL/TLS协议的缺陷于去年9月在布宜诺斯艾利斯的Ekoparty安全大会上被曝光，该漏洞能让攻击者窃听加密的会话。微软MS12-006安全公告标识为“重要”级别，该漏洞存在于协议自身并且不仅限于Windows操作系统。在这个安全大会上，独立的安全研究员Juliano Rizzo展示了通过利用该SSL错误从HTTPS请求中解密，并获得认证令牌以及cookies文件的方法。该更新文件适用于所有支持的Windows版本。

　　MS12-005安全公告被评级为“重要”级别，解决了一个Windows错误，但是赛门铁克安全响应团队的安全智能经理、漏洞专家Joshua Talbot说，该补丁应得到额外的重视，因为它能被轻易地利用。借助包含恶意嵌入ClickOnce应用的微软Office Word或PowerPoint文档，这个Windows.NET中的错误可被远程利用。ClickOnce指基于Windows平台的能自我更新的应用，这些应用可以在最少的用户交互前提下安装并且运行。该更新文件影响到所有支持的Windows版本，修补Windows Packager载入ClickOnce应用的方式。

　　“该漏洞是由于忽视了一旦用户打开了一个Word或PowerPoint文件后，攻击者能运行恶意软件的情况”，Talbot在声明中说道。“邮件附件可能会是该漏洞被利用的最常见的攻击手法”。

　　该漏洞在可用性索引中评为1，意味着攻击者能快速地开发针对该漏洞的工具。但是位于加利福尼亚帕洛阿尔托市的虚拟化厂商VMware公司的研发部经理Jason Miller说道，攻击者首先必须学会如何构建ClickOnce应用。

　　“我看到他们正停留在习惯使用的跨站点脚本以及其它东西上”，Miller说道。“ClickOnce应用正变得更加普遍，特别是随着作为基于云的服务采用方式增长时，但是眼下我不认为这是一个主要的威胁”。

　　其它更新都被评级为“重要”级别，包括解决了许多Windows错误的MS12-001，解决安全功能逃避（Security Feature Bypass）漏洞的MS12-003，该Windows错误能让攻击者获得特权提升，而MS12-002更新影响到带有嵌入打包对象的合法文件在Windows系统中的运行。