微軟為夏季補丁季拉開了帷幕，這次發布的補丁對于系統管理員來說非常簡單，只有兩個關鍵補丁，修復了Internet Explorer和Windows Media Player中的漏洞。

在這兩個影響到企業用戶的關鍵補丁中，更重要的可能是IE的安全更新，共修復了24個漏洞。如果終端用戶瀏覽惡意網頁，最嚴重的可能會允許遠程代碼執行。該關鍵更新適用于所有受影響的Windows客戶端和相關服務器上的IE版本。

IE安全更新可以刪除瀏覽器訪問惡意網站歷史，并增加了額外的IE權限驗證，修改瀏覽器對象內存的處理方式。

Qualys公司的漏洞實驗室主任Amol Sarwate表示，IE更新對于他們公司來說是首要事件。不僅僅是微軟對IE日益增長的安全威脅擔憂，他表示該公司最近開始每個月釋放更新的瀏覽器，而不是每隔一個月。

第二個關鍵更新修復了Windows Media Player中的遠程代碼執行漏洞，該漏洞可以允許攻擊者遠程控制受影響的系統。然而修復的媒體播放器不一定受現在的企業關系——現在大多數人從更加可信的流媒體服務Spotify或YouTube上——Sarwate說它仍然值得最終用戶的注意。

“這仍然是一個關鍵的遠程代碼執行漏洞，”Sarwate說，“如果用戶意外點擊一個被感染的文件，整個系統就會徹底控制，后果是很嚴重的。”

另外一個針對Adobe Flash Player高優先級的補丁不是微軟發布的。該補丁修復了13個可能會讓攻擊者訪問系統的漏洞。大多數的缺陷修補涉及內存崩潰問題，包括Windows 7 64位里的flash堆存儲地址隨機選擇。

Adobe推薦Windows和Mac版本的Flash Player桌面運行時的用戶升級到Adobe Flash Player 180.0.160，Flash Player擴展支持的用戶升級到Flash Player 13.0.0.292。

“本月Adobe Flash Player補丁排名前三甲，因為在過去的一年里Adobe Flash Player變得非常流行。” Sarwate說。

另一個補丁不是關鍵補丁，但認為是重要的，它修復了微軟Office中的程代碼執行漏洞。攻擊者可能使用二進制編輯器對文件(有可能是Word文檔)進行修改，當用戶點擊受感染的文件后，會觸發最終用戶機器上的遠程控制執行。

“我們將該補丁定為重要級別主要是因為Office在世界500強企業以及家庭環境中的采用率非常高，”Sarwate說。

此次更新適用于所有受支持的微軟Office兼容包SP3版本，Office 2010以及Office 2013和2013 RT。

活動目錄漏洞獲修復

另外一個重要的更新修復了活動目錄聯合服務(Active Directory Federation Services，ADFS)允許特權提升的漏洞。該漏洞的產生是因為攻擊者向目標站點提交了惡意URL。如果無法清理惡意腳本，當最終用戶訪問受感染的內容時，該漏洞可能會允許攻擊者在安全上下文中運行腳本。

“AD是許多組織內的王冠功能之一，因為它搜集了你的所有用戶的信息，不同的漏洞類型可能會產生很糟糕的后果，”Sarwate說，“但是AD服務器通常不會暴露在網絡中，所以攻擊者必須打破障礙才能訪問這些服務器，他們還需要一些證書來提升自己的特權以便執行這些漏洞。”

最后一個重要更新修復了Exchange服務器允許特權提升的漏洞。修復過程中修改了Exchange Web應用程序管理同源策略和用戶會話身份驗證的方式，以及修正了Exchange Web應用程序審查HTML字符串的方式。Exchange管理員尤其想要解決這些問題，Sarwate說，因為Exchange是許多組織中的另一個王冠功能。

當補丁發布后，黑客使用擴散工具幾乎能夠立刻檢測出哪些漏洞已經修復哪些漏洞沒有被修復，Sarwate說。這些二進制工具可以查看兩個DLL，一個接一個進行，然后逆向查看漏洞到底在哪。

“這就是為什么微軟是需要快速修補一切的，”Sarwate說，“一旦補丁發布，黑客和系統管理員之間的賽跑就開始了。”