评估2014年7月安全更新的风险
今天,我们发布了六个安全公告,解决了29个独特的CVE漏洞。其中两个公告的最高严重性评级为“严重”,三个为“重要”,一个为“中等”。我们希望下表能帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS14-037 (Internet Explorer) | 受害者浏览恶意网页。 | 严重 | 1 | 可能在30天内开发出可靠的漏洞利用 | 解决了23个远程代码执行问题和一个较低严重性的安全功能绕过漏洞。 |
| MS14-038 (Windows Journal) | 受害者打开恶意的.JNT文件或通过资源管理器导航到攻击者控制的WebDAV共享,其中恶意.JNT文件自动呈现。 | 严重 | 1 | 可能在30天内开发出可靠的漏洞利用 | |
| MS14-040 (AFD.sys) | 攻击者以低权限运行代码,运行漏洞利用二进制文件以提升到SYSTEM。 | 重要 | 1 | 可能在30天内开发出可靠的漏洞利用 | |
| MS14-041 (通过DirectShow的沙箱逃逸) | 攻击者以低完整性级别运行代码,运行漏洞利用二进制文件以提升到登录用户上下文。 | 重要 | 1 | 可能在30天内开发出可靠的漏洞利用 | |
| MS14-039 (通过屏幕键盘的沙箱逃逸) | 攻击者以低完整性级别运行代码,运行漏洞利用二进制文件以提升到登录用户上下文。 | 重要 | 1 | 可能在30天内开发出可靠的漏洞利用 | |
| MS14-042 (Service Bus) | 攻击者可能导致Service Bus停止响应传入的AMQP消息。 | 中等 | n/a | 较低严重性问题,不太可能引起攻击者显著兴趣 | Windows Azure不受影响。 |
- Jonathan Ness, MSRC
攻击向量
| 评级 | 风险评估 |
|---|---|
| 严重 | |
| 重要 | |
| 中等 |
上一篇帖子
下一篇帖子
相关帖子
- 评估2014年9月安全更新的风险
- 评估2014年8月安全更新的风险
- 评估2014年6月安全更新的风险