微软Edge浏览器迎来首个安全更新

今年5月份，微软公布了专门用于Windows 10系统的全新Edge浏览器。该浏览器利用了操作系统的Passport、Smartscreen以及沙盒等业内领先的技术来提升其安全性。通过这些举措，微软意图用超安全的Edge浏览器来替代传统的IE浏览器，提升浏览器的安全特性。然而，Edge浏览器近日就迎来了首个安全更新。

该安全更新包含在等级为严重的安全公告MS15-095内。其中包含了4个针对Windows客户端为严重安全漏洞的CVE-2015-2485、CVE-2015-2486、CVE-2015-2494和CVE-2015-2542等内存损坏漏洞。这些漏洞使得用户在使用Edge查看经过特殊设计的网页时可能出现允许远程执行代码的情况。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。由此，攻击者就可以轻松读取或者修改用户的文件，造成严重影响。

在同时发布的安全更新中，MS15-094表明了IE浏览器也存在相同的漏洞，而且漏洞数量为12个。漏洞管理与合规性解决方案SaaS服务的提供商Qualys的首席技术官Wolfgang Kandek指出，这些同样存在的漏洞说明Edge浏览器至少使用了部分IE浏览器的代码。但是，Edge浏览器漏洞数量少也表明微软工程师在构建更加安全的浏览器时所付出的努力没有白费。同时，它也说明编写一份没有错误、免于攻击的软件是多么的困难。

因为Windows 10还没有广泛用于企业用户，查看Edge公告或许不在系统管理员的优先待办事项中。然而，Qualys的工程经理Amol Sarwate表示，系统管理员还是应该关注一下包含Office 2007和2010中的若干关键性漏洞的MS15-097和MS15-099公告。Sarwate同时表示，已经有了很多利用这些漏洞的攻击。其中的远程代码执行漏洞意味着，用户只需要打开一个内嵌恶意代码的Excel或者Word文档，这些代码就可以在不知不觉间后台运行，攻击本地计算机。

此外，Sarwate建议，运行微软Exchange和Active Directory的企业也应该好好看一下MS15-096和MS15-103公告。其中，Exachange的漏洞使得恶意攻击者可以通过Outlook Web Access（OWA）客户端来获取用户文件的访问权；Active Directory的漏洞使得软件更容易受到拒绝服务（DDoS）攻击。对于商业用户而言，Active Directory是一个非常关键的应用。它会保留所有用户的账号，并且一般不会连接到互联网。但是，管理员仍需安装相应的补丁，以防万一。Sarwate提出，如果一个黑客进入了企业的内部网络，那么他要做的第一件事或许就是攻击Active Directory。

总的来说，今年微软已经发布了105个安全公告。Qualys估计，该数字在年底会增加到145。相比于2014年的106个和2011年的100个，今年的安全公告数量明显增加。但是，Kandek表示，这并不意味这微软的软件变得更加脆弱了。来自第三方研究人员和攻击者所发现的漏洞数量的增长，正好与产品数量、版本数量和平台数量的增长相吻合。Kandek认为，这正好说明了安全问题正变得多么的重要。

感谢魏星对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号：InfoQChina）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群）。