微软在2017年4月份周二补丁日发布中，正式放弃了原有的为安全专业人士所熟悉的安全公告格式，而支持新的“安全更新指南”，不过，该变化的进行也并非一帆风顺。

最大的变化是将按产品分组的公告更新切换到安全更新指南，该指南侧重于针对特定补丁的常见漏洞和披露（CVE）。

Qualys Inc.漏洞实验室总监Amol Sarwate表示：“新的安全更新指南提供了每个漏洞相同数量和细粒度的信息，同时提供更好的搜索功能。”

“新设置更适合于自动化，并支持API将信息下载到结构化格式，”Sarwate表示，“在我看来，想要理解、优先考虑并全面了解每月更新，眼下企业需要创建自己的脚本或执行信息处理的计算机程序。

然而，分析人士发现解析数据变得更为困难，因为“安全更新指南”会破坏原有的工具，需要开发新的工具。

Tripwire的漏洞和曝光研究团队（VERT）主管Tyler Reguly表示，这种变化使得维护警报格式变得不太可能。

“当微软推出安全公告并介绍周二补丁日的概念时，他们不知不觉地在厂商-客户安全通信中设置了黄金标准。其他厂商仍在努力复制微软几年前已完成的工作，”Reguly在一篇博文中写道。“在目前的迭代中，门户网站并不足以替代安全公告，不过有希望的是，微软正在采取反馈意见、倾听安全专业人士和客户建议，并努力改进系统以打造一个远超以往方案的解决方案”。

Rapid7高级安全研究员Greg Wiseman表示，“安全更新指南”目前是“‘半成品’，有改进的方面，但也带来一些新的麻烦”，不过，他对此持乐观态度，新系统的弹性的大方向是正确的。

“该指南缺少一个列出所有CVE摘要的列表，因此点击火力都集中在了导航方面。“需尽快修复的故障”与他们在安全更新列表中所指的CVE的方式不一致，这使得新的搜索功能不太有效，“Wiseman表示，“另一方面，随着新的重点侧重在CVE，微软正提供更多的关于个人漏洞的详细信息。对于企业来说，该指南的主要优点是能够按照产品和严重程度进行过滤和排序，这在旧的静态公告页中是欠缺的。这样可以方便企业优先修复关键漏洞、略过不相关的产品。”

重要补丁发布

当安全专家们习惯了“安全更新指南”，他们就可以在4月份的“周二补丁”中确定一些高优先级的零日漏洞和关键修复程序，其中包含45个漏洞补丁。

列表上最靠前的是Microsoft Word零日漏洞（CVE-2017-0199）的补丁，该漏洞在周末被披露，并在网络钓鱼计划中被积极利用。所有受支持的Microsoft Office版本均受到影响，且危险系数极高。因为它可允许攻击者完全控制系统，而不会使受害者启用宏，就像大多数Word漏洞利用一样。

Microsoft还修补了Internet Explorer（CVE-2017-0210）中的零日漏洞，这是一个特权漏洞的升级，因为它可允许攻击者从一个域访问信息并将其注入到另一个域中。

Microsoft Edge浏览器收到一个已被公开披露的安全漏洞的修补程序（CVE-2017-0203），但Microsoft表示其“不大可能”被利用，以及三个关键漏洞（CVE-2017-0093、CVE -2017-0200、CVE-2017-0205），这可允许攻击者完全控制目标系统。

专家指出，企业可能希望关注新的“安全更新指南”中列出的Hyper-V修补程序，尽管微软没有在4月份的周二补丁公告说明中特别提及它们。

Microsoft发布了Hyper-V中三个远程代码执行漏洞的修补程序：CVE-2017-0162、CVE-2017-0163和CVE-2017-0180。

“随着IT部门将越来越多的系统虚拟化，企业中的虚拟机管理程序数量会持续增加，”Reguly称，“公告中也有一些Hyper-V漏洞被修补，包括一个Guest操作系统转义，可允许Hyper-V访客的身份验证用户在Hyper-V主机上执行代码。”

根据Reguly的说法，新的安全更新指南中的另一个不清楚的地方是“另外发布的两个文档，看起来像是CVE，但实际上并不是”。

“这些文档在详细信息列中“作为”文档ID被公布出来（以YYYY-####的格式），这造成了误解，很容易被认为与CVE(CVE-YYYY-####)一样，”Reguly写道。

第二个非CVE文档是2017-3447，是该月所有Adobe Flash补丁的列表。