微软周二发布了两项重要公告，解决了Outlook Express和Visual Basic中的两个严重漏洞，攻击者可以利用这两个漏洞远程访问敏感数据。

微软发布这些补丁作为其每月例行的补丁计划的一部分。

MS10-031修复Microsoft Visual Basic for Applications（VBA）中的一个严重漏洞。开发者可以利用VBA工具来将第三方工具装入运行各种微软Office应用程序的进程中。对于VBA SDK 6.0以及使用Microsoft VBA的第三方应用程序，此安全更新的等级为“严重”。

内存损坏漏洞使攻击者能远程执行代码，并可能导致受害者的计算机被完全控制。攻击者需要让用户打开一个文件，强制应用程序在运行时向VBA发送恶意代码。对于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本，此安全更新等级为“重要”。

补丁管理专家一致认为，尽管攻击者针对这个漏洞来写漏洞利用代码很难，但Visual Basic中的漏洞对微软Office的所有受支持版本有很大的影响。

漏洞管理厂商Qualys公司的首席技术官Wofgang Kandek 说：“虽然对于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本，此安全更新等级为‘重要’，但是我们认为这很紧急。”

微软还解决了影响Windows Mail客户端身份验证邮件响应方式的严重漏洞。MS10-030解决了在Windows 2000、XP、Vista和Windows Server 2003和2008上运行的Outlook Express、Windows Mail和Windows Live Mail中的漏洞。攻击者需要引诱用户访问一个恶意电子邮件服务器，来实现攻击。发送恶意代码迫使邮件客户端不需要身份验证。成功利用该漏洞的攻击者可以获得与本地用户相同的用户权限。

微软安全响应中心的响应通信部门经理Jerry Bryant在MSRC的博客中写道，“为了成功利用此漏洞，攻击者需要托管一个恶意邮件服务器或感染一个邮件服务器。或者，攻击者可以执行一个中间人攻击，并试图改变客户端的响应方式。因为Windows Vista和较新的操作系统中有堆缓解，所以这个漏洞被利用的可能性不大。

微软SharePoint仍然易受攻击

影响SharePoint Server 2007和SharePoint Services 3.0的跨站点脚本（XSS）漏洞仍然容易受到远程攻击。针对零日漏洞的概念验证代码是公开。Bryant说，微软的工程师仍在开发和测试修补程序。

该漏洞可以被基于浏览器的攻击利用，使攻击者能够在易受感染的应用程序中执行JavaScript代码。

【编辑推荐】

1. “极光”末日微软今日发补丁修复8个IE漏洞
2. 安全公司披露微软上月悄悄修复三个严重漏洞