微软安全公告 MS14-085 - 重要
Microsoft Graphics Component 中的漏洞可能允许信息泄露 (3013126)
发布日期: 2014年12月9日 版本: 1.0
执行摘要
此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。如果用户浏览包含特制 JPEG 内容的网站,该漏洞可能允许信息泄露。攻击者可以利用此信息泄露漏洞获取有关系统的信息,然后将其与其他攻击结合使用以危害系统。此信息泄露漏洞本身不允许任意代码执行。但是,攻击者可以结合使用此信息泄露漏洞和另一个漏洞来绕过安全功能,例如地址空间布局随机化 (ASLR)。
此安全更新对于所有受支持的 Microsoft Windows 版本均评级为“重要”。有关详细信息,请参阅“受影响的软件”部分。
此更新通过更改解码 JPEG 图像时内存的初始化和管理方式来修复该漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”部分。
有关此文档的详细信息,请参阅 Microsoft 知识库文章 3013126。
受影响的软件
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅 Microsoft 支持生命周期。
操作系统
| 操作系统 | 最大安全影响 | 综合严重等级 | 替代的更新 |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2003 x64 Edition Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2003 with SP2 for Itanium-based Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Vista x64 Edition Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 | |||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows 7 | |||
| Windows 7 for 32-bit Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows 7 for x64-based Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8 和 Windows 8.1 | |||
| Windows 8 for 32-bit Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8 for x64-based Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8.1 for 32-bit Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8.1 for x64-based Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012 和 Windows Server 2012 R2 | |||
| Windows Server 2012 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012 R2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows RT 和 Windows RT 8.1 | |||
| Windows RT[1] (3013126) | 信息泄露 | 重要 | 无 |
| Windows RT 8.1[1] (3013126) | 信息泄露 | 重要 | 无 |
| Server Core 安装选项 | |||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core 安装) (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core 安装) (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core 安装) (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012 (Server Core 安装) (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012 R2 (Server Core 安装) (3013126) | 信息泄露 | 重要 | 无 |
[1]此更新仅通过 Windows Update 提供。
严重等级和漏洞标识符
以下严重等级假设漏洞的潜在最大影响。有关在此安全公告发布 30 天内漏洞被利用的可能性(相对于其严重等级和安全影响)的信息,请参阅 12 月公告摘要中的利用指数。
按受影响软件列出的漏洞严重等级和最大安全影响
| 受影响的软件 | 图形组件信息泄露漏洞 - CVE-2014-6355 | 综合严重等级 |
|---|---|---|
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2003 x64 Edition Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2003 with SP2 for Itanium-based Systems (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Vista x64 Edition Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows 7 | ||
| Windows 7 for 32-bit Systems Service Pack 1 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows 7 for x64-based Systems Service Pack 1 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows 8 和 Windows 8.1 | ||
| Windows 8 for 32-bit Systems (3013126) | 重要 - 信息泄露 | 重要 |
| Windows 8 for x64-based Systems (3013126) | 重要 - 信息泄露 | 重要 |
| Windows 8.1 for 32-bit Systems (3013126) | 重要 - 信息泄露 | 重要 |
| Windows 8.1 for x64-based Systems (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2012 和 Windows Server 2012 R2 | ||
| Windows Server 2012 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2012 R2 (3013126) | 重要 - 信息泄露 | 重要 |
| Windows RT 和 Windows RT 8.1 | ||
| Windows RT (3013126) | 重要 - 信息泄露 | 重要 |
| Windows RT 8.1 (3013126) | 重要 - 信息泄露 | 重要 |
| Server Core 安装选项 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core 安装) (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core 安装) (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core 安装) (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2012 (Server Core 安装) (3013126) | 重要 - 信息泄露 | 重要 |
| Windows Server 2012 R2 (Server Core 安装) (3013126) | 重要 - 信息泄露 | 重要 |
漏洞信息
图形组件信息泄露漏洞 - CVE-2014-6355
Microsoft Graphics Component 中存在一个信息泄露漏洞,可能允许攻击者更可靠地预测给定调用堆栈中特定指令的内存偏移。当 Microsoft Graphics Component 在内存中处理 JPEG 图像解码不当时,会导致该漏洞。攻击者可以利用此信息泄露漏洞获取有关系统的信息,然后将其与其他攻击结合使用以危害系统。此信息泄露漏洞本身不允许任意代码执行。但是,攻击者可以结合使用此信息泄露漏洞和另一个漏洞来绕过安全功能,例如地址空间布局随机化 (ASLR)。此安全更新通过更改解码 JPEG 图像时内存的初始化和管理方式来修复该漏洞。
此漏洞已被公开披露。它已被分配通用漏洞和暴露编号 CVE-2014-6355。发布此安全公告时,Microsoft 未收到任何信息表明此漏洞已公开用于攻击客户。
缓解因素
Microsoft 尚未发现此漏洞的任何缓解因素。
变通办法
Microsoft 尚未发现此漏洞的任何变通办法。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的 Microsoft 知识库文章。
致谢
Microsoft 感谢安全社区中那些通过负责任地披露漏洞来帮助我们保护客户的努力。有关详细信息,请参阅致谢。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不作任何明示或暗示的担保。Microsoft 不作任何明示或暗示的保证,包括对适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation 或其供应商均不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性。某些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本
- V1.0(2014 年 12 月 9 日):公告发布。