评估2013年11月安全更新的风险
今天我们发布了八个安全公告,解决了19个CVE。其中三个公告的最高严重性评级为Critical,其余五个为Important。我们希望下表能帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS13-090 (ActiveX killbit) | 受害者浏览恶意网页。 | Critical | 1 | 预期会继续看到利用CVE-2013-3918的驱动式攻击。 | 解决了FireEye博客上周五提到的越界内存访问漏洞:http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html。更多攻击信息请访问我们的博客:http://blogs.technet.com/b/srd/archive/2013/11/12/technical-details-of-the-targeted-attack-using-cve-2013-3918.aspx |
| MS13-088 (Internet Explorer) | 受害者浏览恶意网页。 | Critical | 1 | 可能在30天内看到可靠的漏洞利用开发。 | |
| MS13-089 (Windows GDI) | 受害者在Wordpad中打开恶意的.WRI文件。 | Critical | 1 | 可能在30天内看到可靠的漏洞利用开发。 | 此更新解决了BMP转换为WMF时的漏洞。虽然Wordpad向量仅为“Important”严重性,但我们认为如果安装了第三方应用程序,可能存在其他攻击向量。这些攻击向量可能不需要用户交互。因此,出于谨慎,我们将此公告评级为“Critical”。 |
| MS13-091 (Word) | 受害者打开恶意Word文档。 | Important | 1 | 可能在30天内看到可靠的漏洞利用开发。 | |
| MS13-092 (Hyper-V) | 攻击者在虚拟机内运行代码可导致主机hypervisor系统崩溃;或可能在相同hypervisor系统上运行的其他VM中执行代码。 | Important | 1 | 可能在30天内看到可靠的拒绝服务漏洞利用开发。 | Guest -> Host是拒绝服务(崩溃)。Guest -> Guest有可能执行代码。 |
| MS13-093 (AFD.sys) | 攻击者以低权限运行恶意EXE以泄露内核内存地址和内容。 | Important | n/a | 无直接代码执行机会。仅信息泄露。 | 仅影响64位系统。不影响Windows 8.1。 |
| MS13-094 (Outlook) | 攻击者发送S/MIME电子邮件,在S/MIME签名验证期间触发多个HTTP请求。由于请求可以发送到任意主机和端口,时间差异可以向攻击者揭示受害者计算机可访问的主机和端口。 | Important | n/a | 无直接代码执行机会。仅信息泄露。 | 此漏洞可用于“端口扫描”,每封S/MIME电子邮件可扫描数千个端口。多个S/MIME签名者的验证将需要一些时间,并在此过程中阻止Outlook。 |
| MS13-095 (数字签名解析拒绝服务) | 攻击者发送格式错误的X.509证书到Web服务,导致临时资源耗尽拒绝服务条件。 | Important | n/a | 无直接代码执行机会。仅拒绝服务。 |
- Jonathan Ness, MSRC Engineering