微软的月补丁更新又到，但这次的发布有个特别的意外结局：Windows一个已经存在15年的基础设计缺陷花了一年才被修复，但Server 2003则修复无望了。

这个重大漏洞可以使恶意黑客完全控制进行了域配置的Windows系统——只要这个系统通过无线或有线方式连接上某个恶意网络。大部分家庭用户应该不受影响，因为他们一般不进行域配置。但对一些跨国企业或欧美企业的IT从业人员来说影响就很大。因为，他们工作用的电脑通常都会被配置为域管理。

比如将公司的笔记本电脑接入公共场所的Wifi，危险就会降临。根据微软声明：

成功利用此漏洞的攻击者可以获取系统的完全控制权。攻击者可以安装程序、查看、修改或删除数据，或者创建拥有所有用户权限的新帐户。

这一远程代码执行漏洞影响以下Windows系统支持的所有版本：

Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2和Windows RT 8.1。

安全顾问公司JAS Global Advisors，也就是发现MS15-009漏洞的安全公司，解释道：“这一漏洞的情况比较特殊，即使不是空前的，也必然要有一个非常长的修复周期。”

与近期广为人知的心脏出血、破壳、Gotofail和POODLE漏洞不同，这次是设计上问题而不是实现上的问题。修复这个问题，微软得重新设计操作系统的核心组件并增加许多新的特性。向后兼容性和可配置型也需要纳入考虑范围。微软已做了大量回归测试以最小化未知副作用的影响。

这一漏洞（CVE-2015-0008）早在1年前全球域名管理机构ICANN聘请JAS检查其创建新通用顶级域名的系统的安全性时就被发现了。一经发现，JAS的一位雇员就花了一年时间与雷德蒙德(美国微软总部)合作找寻解决办法。

微软称那个漏洞非常底层，以至于无法在Server 2003上为其打补丁（咳，咳，Server 2003的生命要走到头了）。

“Windows Server 2003的系统中没有支持这个补丁的架构。”，一位微软的发言人说。

“对于使用Windows Server 2003的用户，我们建议在连接到不可信网络时采用合适的虚拟专用网（VPN）解决方案。”

这次问题症结在于Windows系统处理组策略和域配置的互动上。

举个例子：用户的工作用笔记本电脑上配置有域，他可能在咖啡馆里尝试访问公司网络中的文件。此时，“中间人”攻击者就可能通过修改无线路由器上的地址解析协议（ARP）表，将用户的Windows系统引向恶意域（也许放置了包含恶意指令的login.dat）。

这听起来很简单，对吗？之所以简单，是因为用于挫败此类中间人攻击的加密机制和其他保护措施都能够被关闭或破坏。

“远程代码执行漏洞存在于登录域时组策略接收和应用策略数据的方式上。”微软安全团队解释道。

“同时，漏洞也源于组策略可能会取不到有效的安全策略而采用可能不太安全的默认组策略。而这，可能会被用于使域的强制服务器信息块（SMB）签名策略失效。”

安全团队继续道：

更重要的是，SMB客户端默认不要求SMB签名，因而将访问域的流量，尤其是那些未经加密的流量，引向攻击者控制的主机并返回给受害者恶意内容是有可能的。为封锁这类攻击，我们加入了域网络内增强UNC路径访问的功能。

微软称，尚未发现有黑客利用此设计上的漏洞。

更多补丁需要打上

本次更新还有其他两个关键补丁。MS15-009包含了41个已报告的IE漏洞，这些漏洞影响IE6及以上版本。没打上这个补丁就访问了错误的网站的话，你就有可能被黑客入侵。

而IE漏洞之一CVE-2015-0071则是权限提升型，且已被黑客利用。有消息称，中国黑客将之与Adobe Flash的远程代码执行漏洞捆绑，用于结合恶意软件感染访问福布斯网站的用户。而“thought for the day”页面在感恩节期间则被注入了利用编程漏洞劫持访问者电脑的代码。

微软于昨日放出的第二个关键补丁针对Windows 7及以上版本，以及Server 2008 R2以上的服务器软件。此漏洞是关于Windows内核模式驱动怎样处理某些对象的，尤其是嵌入的矢量字体。

剩下6个补丁全都是重要级别，涵盖微软旗下一小部分产品。其中有两个是Office安全补丁，优化可能与设计缺陷有关的组策略的。有一个是针对Flash的。其他3个是虚拟机和图形系统的补丁。