cnet.com：微軟下周二將發布兩個重要安全補丁

微軟星期四稱，他將在下周二發布兩個重要的安全補丁修復windows和office軟件中的安全漏洞。遠程攻擊者如果成功地利用這些安全漏洞能夠控制用戶的計算機。

微軟在安全反應中心博客中發布的消息稱，這些補丁是微軟每月補丁星期二發布的安全補丁的一部分。這些安全漏洞影響到微軟的windows 2000、xp、vista、windows 7、server 2003和server 2008等操作系統軟件；office xp、office 2003、2007等辦公軟件；微軟visual basic for applications和visual basic for applications軟件開發工具。windows 7和server 2008 r2用戶在默認狀態下不會受到影響。

然而，微軟補丁星期二發布的補丁中沒有修復上個星期披露的sharepoint services 3.0和sharepoint server 2007等軟件中的一個安全漏洞的補丁。這個安全漏洞能夠導致通過瀏覽器實施跨站腳本攻擊。利用這個安全漏洞的概念證明代碼已經發布了。

微軟安全反應中心響應通訊部門經理jerry bryant在發表的帖子中稱，我們的團隊仍在研制這個漏洞的補丁。同時，我們建議用戶評估這個安全公告并且使用這個繞過措施。

同時，微軟稱，對于windows 2000和xp sp2的技術支持將在今年7月13日結束。用戶應該升級到有技術支持的操作系統或者最新的服務包以便繼續得到安全更新。

cnet.com：一種惡意蠕蟲正通過雅虎通傳播

一種蠕蟲本周四正在通過雅虎通傳播。這種蠕蟲引誘用戶下載他們以為是朋友發來的照片，而實際上卻是下載一個惡意軟件。這個惡意軟件在windows系統上安裝一個后門并且傳播到受害者的即時消息聯絡人。

這個蠕蟲是通過一個聯絡人發出的消息傳播的。這個消息內容是“照片”或者“多張照片”或者就是一個笑臉標識，附帶一個指向一個網站的鏈接，類似于一個facebook網頁、myspace網頁或者其它可能放照片的網頁。

如果用戶點擊在一個mac機上的鏈接，就會下載一個可執行文件，但是不會發生進一步的行動。在windows系統上，這個可執行文件也會下載。如果用戶執行這個文件，這臺計算機就會受到感染。這個惡意消息就將傳播到所有的即時消息聯絡人。

據安全軟件公司賽門鐵克稱，一旦運行這個惡意文件，這個蠕蟲就把自己復制到%windir%infocard.exe文件，然后把自己添加到windows防火墻列表中，修改注冊表鍵值并且停止windows更新服務。如果你看到這個消息，請不要點擊“運行”。

賽門鐵克檢測到這種蠕蟲的名稱是“w32.yimfoca”。賽門鐵克稱，這個蠕蟲影響到windows 98、windows 95、windows xp、windows me、windows vista、windows nt、windows server 2003和windows 2000等操作系統。

賽門鐵克安全響應部門技術經理zulfikar ramzan說，這是非常危險的。當你收到你的熟人發來的即時消息，你很可能會點擊它。這種蠕蟲向被感染的計算機中放入的惡意軟件能夠把用戶的計算機變成一個僵尸網絡中的僵尸電腦。但是，一旦這個后面安裝在被感染的計算中，什么事情都可能發生。

安全公司bitdefender在博客中稱，這種蠕蟲能夠劫持口令和其它敏感的數據。

雅虎在博客中稱，它已經知道了這個問題并且正在努力解決這個問題。

infoworld.com：安全公司披露微軟上個月悄悄修復三個嚴重漏洞

一位安全專家本周四稱，微軟上個月悄悄地修復了三個安全漏洞，其中有兩個安全漏洞影響到企業執行重要任務的exchange郵件服務器。微軟在安全公告中沒有說明這些安全漏洞。

微軟沒有宣布的三個安全漏洞之中的兩個安全漏洞和這三個安全漏洞中的一個最嚴重的安全漏洞被打包在了ms10-024安全補丁中。這是微軟在4月13日發布的exchange和windows smtp服務的一個更新并且標記為“重要”等級。這位微軟排在第二位的威脅等級。

據core安全技術公司首席技術官ivan arce說，微軟修復了這些安全漏洞，但是，沒有披露它修復了這些安全漏洞的消息。這些安全漏洞比微軟披露的安全漏洞更加嚴重。這意味著系統管理員也許會對使用補丁的決策做出錯誤的決定。他們需要這個信息來評估這個風險。

core實驗室研究人員nicolas economou在深入研究微軟發布的安全更新的時候發現了這兩個沒有宣布的安全漏洞。

core對于研究人員economou的這個發現發表了自己的安全公告。這個安全公告稱，攻擊者能夠利用微軟ms10-24補丁修復的這兩個沒有公開的安全漏洞假冒對于windows smtp服務發送的任何dns查詢的回應。除了ms-024補丁原來說明的拒絕服務攻擊和信息泄露等影響之外，dns回應欺騙和緩存染毒攻擊還能產生其它各種安全影響。

ncircle security安全運營經理andrew storms說，秘密補丁既不是新鮮事也不少見。多年以來一直存在這種事情。這種事情本地也不是一個巨大的陰謀。

不同尋常的是core把微軟悄悄地修復安全漏洞的事情公開了。core稱，微軟錯誤地說明和低估了ms10-24安全漏洞的嚴重性。core敦促企業it管理員考慮重新評估優先使用補丁的事情。

core發現的第三個沒有說明的安全漏洞是在微軟4月13日發布的ms10-028補丁中。這個補丁修復了微軟項目圖表軟件visio中的安全漏洞。

微軟承認它在沒有告訴用戶的情況下修復了一些安全漏洞。但是，微軟為這種做法進行了辯護。微軟安全計劃經理jerry bryant說，這樣做有助于減少用戶使用安全補丁的數量，因為更新會中斷用戶的軟件環境。

英國

路透社：諾基亞董事會支持管理層從硬件向服務轉變的戰略

諾基亞董事長約瑪·奧利拉(jorma ollila）星期四在對股東發表的講話中稱，諾基亞管理層從硬件向提供服務轉變的戰略已經得到了董事會的全面支持。他說，我們在這方面支持管理層。

諾基亞已經開始建立新的業務，提供從音樂下載到電子郵件的廣泛的互聯網服務。但是，這些服務到目前為止還沒有受到關注。

諾基亞首席執行官康培凱（olli-pekka kallasvuo）說，我們仍然有需要工作要做。但是，我們已經建立的堅實的基礎。我們相信我們的戰略。

由于諾基亞的股票價格錯過了市場的復蘇，諾基亞管理層一直受到分析師和股東的批評。諾基亞是在經濟復蘇的2010年錯過利潤增長的少數公司之一，并且軟件問題繼續影響諾基亞的智能手機。

諾基亞上個月延遲了推出使用symbian 3軟件的手機。諾基亞的軟件平臺升級產品symbian 3被看作是使諾基亞智能手機能夠具有競爭力的第一步。推遲發布這種手機引起了市場拋售諾基亞的股票。

康培凱說，諾基亞預計其新一代手機將顯著縮小在高端智能手機競爭方面的差距。

自從蘋果iphone手機推出三年以來，諾基亞一直沒有對iphone構成真正的挑戰。諾基亞上一個熱門的智能手機n95是在2006年推出的。那一年正是長期擔任公司律師的康培凱擔任了諾基亞首席執行官。

法國

法新社：阿拉伯語成為史上第一個非拉丁字符域名

用阿拉伯語字符寫的互聯網地址本周四開始在互聯網上應用，成為歷史上第一個非拉丁字符的在線域名。

icann在稱，這是歷史上第一次在頂級域名中首次采用非拉丁字符。阿拉伯語現在已經成為第一個用于互聯網域名的非拉丁字符。

頂級域名就像在線地址的郵政編碼一樣，眾所周知的例子包括 .com、.org和.net等。

新的頂級域名旨在用于埃及、沙特阿拉伯和阿聯酋。icann的kim davies在博客中說，這三個國家都是阿拉伯字符域名，將允許域名完全從右向左邊書寫。

埃及稱，第一個非拉丁字符網站采用新的“.masr”域名。

icann稱，目前處在批準最后階段的采用本地域名字符的語言包括中文、僧伽羅語、泰米爾語和泰國語。

icann稱，阿拉伯語是目前互聯網上最常用的語言之一。擁有使用自己的語言作為整個域名的能力，中東地區的用戶將更容易訪問互聯網。