微软在上周四针对用户发布关键Windows公告，五月份的补丁计划比较简单，将在‘补丁星期二’发布两个公告，其中一个为“危急”，解决Windows中的一个漏洞问题。

微软表示，该危急公告解决的Windows漏洞对Windows Server 2003，2008和2008 r2都有影响。第二个公告定级为“重要”，解决了两个漏洞，这两个漏洞存在于微软PowerPoint 2002，2003和2007版本以及针对Mac平台的Office 2004和2008版本中。公告已定于美国时间5月10日发布。

可利用系数（Exploitability Index）的改变

此外，微软还宣布改变其可利用系数，旨在帮助IT管理员安排好补丁实施的优先级。该指数的数值，根据补丁发布头30天功能开发代码出现的可能性而定。

更改后的指数将包括两个指标来评价每个漏洞，可为最新的平台和旧版本的软件打分定级。高级安全程序经理Maarten Van Horenbeeck，在微软安全响应中心的博客中写道，改变指数的目的，是为了将漏洞评估变得对用户而言更清晰和更易懂。

“这一改变，使用户更容易在最新的平台上，确定微软新产品中提供的额外安全措施和功能带给他们的风险。”Van Horenbeeck写道，“在以前的系统下，所有的产品版本只有一个总的漏洞评级。”

Van Horenbeeck表示，在开源系统中比如地址空间布局随机化（ASLR），数据执行保护（DEP）和其他帮助阻止漏洞利用的技术中，可利用系数被批评说没有将更多最近的措施考虑在内。比如在Windows XP中，ASLR不是默认部署的。

拒绝服务的风险

改变后的可利用系数还将拒绝服务攻击（denial-of-service，DoS）带来的风险考虑在内，拒绝服务攻击会导致系统停止响应或崩溃。该指数将表明一个DoS攻击是否是“永久”的，是否会使一个程序或操作系统崩溃，以及是否在攻击中无法响应。

Van Horenbeeck表示，“对于面向服务的互联网管理员来说，一个高危的漏洞和一个不重要的漏洞是有区别的。”

在过去八个月可利用系数的评级中，微软发现，一共有256个评级，其中97个为不太严重或对新版本产品不使用。有七个例子可以证明是最新的产品版本受到影响，而旧版本不会受到影响。

漏洞管理厂商Lumension安全公司的安全和法证分析主任Paul Henry表示，改变后的指数增强了一个评估工具能力，该工具对那些需要微调优先事项的管理员来说已经很有用。

Henry在一封电子邮件中写道，“微软在业界在补丁的背景信息方面已经做得很好，现在他们又开始迈向另一个缺口。”

【编辑推荐】

1. 瑞星加入微软平台就绪计划 全线兼容SQL2008R2等三大产品
2. 微软紧急安全更新 涉及多家大型网站证书
3. 微软加快漏洞报告进程--协助处理第三方漏洞
4. 微软会同美政府打掉全球最大垃圾邮件网络
5. 微软发布3月补丁 可防止木马“空投”到电脑