如果用户查看以特制 OpenType 字体呈现的内容,则该漏洞可能允许特权提升。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞。
此安全更新可解决 Windows OpenType 字体 (OTF) 格式驱动程序中的两个秘密报告的漏洞。 对于 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新等级为“重要”。Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本不受此漏洞影响。 此安全更新通过更正处理 OpenType 字体时 OpenType 字体 (OTF) 格式驱动程序分配内存和执行整数计算的方式来消除这些漏洞。
More
此安全更新解决了 Microsoft .NET Framework 中一个秘密报告的漏洞。 如果用户使用可运行 XAML 浏览器应用程序 (XBAP) 的 Web 浏览器查看特制网页,此漏洞可能允许在客户端系统上远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 如果运行 IIS 的服务器系统允许处理 ASP.NET 页面,并且攻击者成功地将特制 ASP.NET 页面上载到该服务器并执行它,此漏洞也可能允许在该服务器系统上远程执行代码,在 Web 主机情形中也是如此。
对于受支持的基于 x64 和基于 Itanium 版本的 Microsoft Windows 上的 Microsoft .NET Framework 4.0,此安全更新的等级为“严重”。 此安全更新通过修改 JIT 编译器优化代码的方式来解决此漏洞。
More
此安全更新可解决 Microsoft Windows 组件 Embedded OpenType (EOT) 字体引擎中的一个秘密报告的漏洞。 此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全远程控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为“严重”。此安全更新通过纠正 Embedded OpenType 字体引擎分析包含嵌入字体的文件和内容的方式来消除此漏洞。
More
此安全更新可解决 Microsoft Windows Media Player 网络共享服务中一个秘密报告的漏洞。 如果攻击者向受影响的系统发送特制的 RTSP 数据包,此漏洞可能允许远程执行代码。 但是,默认情况下,将禁用对家庭媒体的 Internet 访问。 在此默认配置中,仅攻击者位于同一子网中的计算机才可利用此漏洞。
对于 Windows 7 的受支持版本,此安全更新的等级为“严重”,对于 Windows Vista 的受支持版本,此安全更新的等级为“重要”。此安全更新通过更正 Windows Media Player 网络共享服务处理特制 RTSP 数据包的方式来解决此漏洞。
More
此安全更新可解决 Microsoft 基础类 (MFC) 库中的一个公开披露的漏洞。 如果用户使用管理用户权限登录并打开使用 MFC 库构建的应用程序,则此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与当前登录用户相同的权限。 如果用户使用管理用户权限登录,攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为“中等”。此安全更新通过对窗口标题更改请求增加附加检查来解决漏洞。
More
此安全更新可解决 Windows 内核模式驱动程序中许多公开披露的漏洞。 如果攻击者登录受影响的系统并运行特制应用程序,最严重的漏洞可能允许特权提升。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞。
对于 Microsoft Windows 所有受支持的版本,此安全更新等级为“重要”。此安全更新通过更正 Windows 内核模式驱动程序维护对象的引用计数,从磁盘加载键盘布局时索引函数指针表格,以及验证窗口类数据的方式来消除这些漏洞。
More
此安全更新可解决 Microsoft SharePoint 和 Windows SharePoint Services 中一个公开披露的漏洞和一个秘密报告的漏洞。 如果攻击者使用 SafeHTML 将特制脚本传输到目标站点,则这些漏洞可能允许信息泄露。
对于 Microsoft SharePoint Services 3.0、Microsoft SharePoint Foundation 2010 和 Microsoft Office Web Apps,以及 Microsoft Office SharePoint Server 2007 的所有受支持版本和 Microsoft Groove Server 2010,此安全更新的等级为“重要”。此更新通过修改 SafeHTML 清理 HTML 内容的方式来解决这些漏洞。
More
此安全更新可解决 Internet Explorer 中七个秘密报告的漏洞和三个公开披露的漏洞。 最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
对于 Windows 客户端上的 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8,此安全更新的等级为“严重”;对于 Windows 服务器上的 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8,此安全更新的等级为“重要”。此安全更新通过修改 Internet Explorer 在某些过程中处理内存中的对象、CSS 特殊字符、HTML 清理、AutoComplete 功能、锚元素和脚本的方式来解决这些漏洞。
More
此安全更新解决了 ASP.NET 中一个公开披露的漏洞。此漏洞可能允许信息泄露。 成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 Microsoft .NET Framework 3.5 Service Pack 1 之前的 Microsoft .NET Framework 版本不会受此漏洞的文件内容披露部分的影响。
对于 ASP.NET(Microsoft .NET Framework 1.0 Service Pack 3 除外)的所有受支持版本,此安全更新等级为“重要”。该安全更新通过对 ASP.NET 加密的所有数据进行另外标记来解决漏洞。
More
此 DVD5 ISO 映像文件包含 2010 年 9 月 14 日在 Windows Update 上发布的 Windows 安全更新。此映像不包含其他 Microsoft 产品的安全更新。此 DVD5 ISO 映像仅供那些需要下载每个安全更新的多个单独语言版本以及那些不使用自动解决方案(如 Windows Server Update Services (WSUS))的管理员。您可以使用此 ISO 映像同时下载所有语言的多个更新程序。
重要说明:在部署这些更新程序之前,请务必查看位于 http://www.microsoft.com/technet/security 上的各个安全公告,以确保这些文件未在更近的日期更新过。
More